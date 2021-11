DéFi

Cream Finance offre à l’attaquant 10 % des fonds volés en guise de prime aux bogues sur le retour des fonds

AnTy1 novembre 2021

Dans son post mortem du troisième piratage de cette année, cette fois de 130 millions de dollars, Cream Finance a déclaré qu’elle travaillait avec les autorités pour retrouver l’attaquant.

Dans le piratage, seuls les marchés Ethereum v1 ont été touchés, et tous les autres marchés v1 et Iron Bank étaient en sécurité, a-t-il ajouté. La vulnérabilité a maintenant également été corrigée.

Quant à ce qui s’est passé, le projet de financement décentralisé (DeFi) Cream Finance a noté qu’il s’agissait d’un mélange d’exploits économiques et d’oracles.

L’attaquant flash a emprunté DAI au protocole de prêt MakerDAO pour créer une grande quantité de jetons yUSD tout en exploitant simultanément le calcul du prix oracle pour le prix yUSD via la manipulation du pool de liquidité multi-actifs qui contenait yDAI, yUSDC, yUSDT et yTUSD sur lequel le prix oracle s’est appuyé – le tout en une seule transaction.

En augmentant le prix yUSD croissant par action, la position yUSD de l’attaquant a été artificiellement augmentée, créant une limite d’emprunt suffisante pour retirer la grande majorité de la liquidité des marchés CREAM Ethereum v1, a expliqué l’équipe.

En réponse, toutes les interactions avec les marchés Ethereum v1 de Cream ont été suspendues et les crTokens sur eux verrouillés, les rendant non transférables.

« La principale vulnérabilité réside dans le calcul du prix d’un token enveloppable. Nous avons arrêté toute fourniture/emprunt de jetons enveloppables, y compris tous les jetons PancakeSwap LP », a déclaré l’équipe.

L’équipe de Yearn Finance a quant à elle réussi à récupérer 9,42 millions d’euros que l’attaquant a donnés au coffre-fort yUSD dans le cadre de l’attaque. Les fonds seront bientôt retournés à la crème multisig.

L’équipe travaille actuellement sur un plan de restauration des fonds perdus, à commencer par un paiement partiel, dont les détails seront partagés dans les prochains jours.

Cream Finance a également annoncé une prime de bogue en vertu de laquelle l’attaquant est encouragé à contacter l’équipe et à restituer les fonds des utilisateurs en échange de la conservation de 10 % des fonds.

« Ils ont un impact sur les utilisateurs quotidiens de DeFi, et nous aimerions qu’ils fassent la bonne chose », a déclaré Cream Finance.

À la suite de l’attaque, la valeur totale verrouillée (TVL) dans le projet avait chuté de 370 millions de dollars à 1,32 milliard de dollars la semaine dernière, mais n’a pas récupéré car la TVL se situe actuellement à 1,44 milliard de dollars.

Tout comme les fonds, le prix du jeton CREAM n’a pas non plus réduit ses pertes. Se négociant actuellement à 101,11 $, le prix est proche du plus bas de 98,41 $ qu’il a atteint la semaine dernière et est en baisse de 73% par rapport à son sommet historique de 374 $ atteint en février.

