Le nouveau protocole de financement décentralisé ForceDAO a connu des débuts difficiles, avec plusieurs incursions de pirates informatiques quelques heures seulement après son lancement.

L’agrégateur de rendement basé sur Ethereum venait tout juste de lancer sa campagne de largage aérien le 3 avril lorsque quatre pirates malveillants «black-hat» ont réussi à drainer un total de 183 ETH d’une valeur d’environ 367 000 $ à l’époque. Un hacker amical « chapeau blanc » a également aidé l’équipe en les alertant pour éviter de nouvelles pertes.

L’équipe a publié un post-mortem des attaques et a assumé la responsabilité de ce qu’elle a qualifié de «surveillance technique».

AUTOPSIE À la communauté Force et DeFi, nous aimerions partager un post-mortem sur le récent exploit xFORCE. Merci à tous les techniciens et non techniques qui ont aidé en cours de route. Surtout au White Hat qui a aidé à dissuader FORCE de se vider. – Force (@force_dao) 4 avril 2021

À la suite de l’incursion, l’équipe a pris la décision de transférer 60 millions de jetons FORCE du portefeuille multi-signature du Trésor dans un portefeuille de déploiement pour créer et exécuter trois votes qui brûleraient efficacement les soldes FORCE dans trois des adresses des pirates.

L’autopsie a expliqué que la plate-forme xFORCE affectée était une fourchette d’un contrat intelligent SushiSwap contenant un mécanisme de retour des jetons en cas d’échec des transactions. Le protocole décrit xFORCE comme la version «rémunératrice» de FORCE, représentant les parts de ses pools de manière similaire au fonctionnement des jetons LP.

Une faille dans le contrat utilisé par ForceDAO a permis aux attaquants d’exploiter ce mécanisme pour frapper des jetons xFORCE qui ont ensuite été retirés et échangés contre de l’ETH sur les marchés. L’équipe a reconnu que l’attaque aurait été relativement facile à prévenir.

«Cela aurait pu être évité en utilisant un Open Zeppelin ERC-20 standard ou en ajoutant un wrapper safeTransferFrom dans le contrat xSUSHI.»

Il a ajouté que le piratage était actuellement sous enquête car certaines des adresses provenaient des échanges populaires FTX et Binance. Un instantané sera pris et le projet sera relancé avec un nouveau jeton xFORCE, a-t-il ajouté.

Après le lancement et le largage aérien, les prix des jetons FORCE ont bondi à plus de 2 $ le 4 avril, mais ont depuis chuté de plus de 95% à 0,05 $ au moment de la rédaction de cet article.