ads
bc-game

Attaque contre Summer Finance : 6 millions de dollars drainés après une défaillance dans un protocole DeFi

2 min de lecture
PortalCripto
Attaque contre Summer Finance : 6 millions de dollars drainés après une défaillance dans un protocole DeFi
Source : Sora Shimazaki/Pexels — Attaque contre Summer Finance : 6 millions de dollars drainés après une défaillance dans un protocole DeFi
Publicité

Le protocole Summer Finance (Summer.fi) a subi une attaque qui a entraîné la perte d’environ US$ 6 millions, remettant de nouveau en lumière les défis de sécurité auxquels le secteur DeFi est confronté. L’exploitation a été identifiée par des entreprises spécialisées dans l’analyse on-chain, qui ont mis en évidence des indices d’une vulnérabilité liée à la comptabilisation des actifs dans les coffres du protocole.

L’alerte initiale a été diffusée par des spécialistes de la sécurité blockchain dans la matinée de lundi. Peu de temps après, d’autres entreprises ont commencé à analyser le mouvement des fonds et ont reconstitué la séquence de l’attaque, indiquant que l’intrus a réussi à exploiter une faille liée au calcul des parts des utilisateurs.

Selon les analyses, les ressources détournées ont été converties rapidement en DAI avant d’être envoyées à une adresse sous le contrôle de l’attaquant. Le mouvement a attiré l’attention en utilisant une méthode fréquemment employée dans des attaques contre des protocoles de finances décentralisées : la manipulation temporaire des prix et des soldes internes afin d’obtenir des gains indus.

La société de sécurité CertiK a déclaré que l’intrus a eu recours à un prêt flash d’environ US$ 65,4 millions pour exécuter l’opération. Grâce à cette stratégie, l’attaquant a pu effectuer un rachat d’environ US$ 70,9 millions, en profitant d’une faille dans la manière dont le protocole Lazy Summer enregistrait les actifs existants dans ses coffres.

Le système de Summer.fi utilise l’intelligence artificielle pour distribuer automatiquement les dépôts des utilisateurs entre différentes plateformes de prêt, dans le but d’obtenir un meilleur rendement. Ce processus dépend d’une comptabilisation correcte des actifs dans des contrats intelligents, un facteur qui, selon les analystes, aurait été exploité lors de l’incident.

La CertiK a détaillé la mécanique de l’attaque dans la publication suivante :

"L’attaquant a réussi à récupérer US$ 70,9 millions après un dépôt de US$ 64,8 millions, grâce à la manipulation de la comptabilisation de la fonction totalAssets() de FleetCommander dans divers coffres, notamment dans le Silo : Varlamore USDC Growth, que l’attaquant avait accumulé au préalable et donné à Ark pendant ce temps".

Selon l’analyse, le FleetCommander est le contrat intelligent chargé de l’administration des coffres, tandis que le Ark fait l’intégration entre ces coffres et les protocoles de prêts utilisés par la plateforme.

À ce jour, l’équipe de Summer.fi n’a pas encore publié d’explication détaillée sur l’origine de la vulnérabilité exploitée. Alors que l’enquête se poursuit, des entreprises de sécurité continuent de surveiller les mouvements des fonds et d’évaluer si de nouvelles mesures de protection seront mises en place pour éviter des attaques similaires sur le protocole DeFi.

Tags