Les projets d'écosystème DeFi décentralisés Cream Finance et xToken sont à nouveau victimes d'un exploit de sécurité, perdant au total près de 30 millions de dollars. 

Ce lundi, les développeurs du protocole de finance décentralisée (DeFi) Cream Finance a signalé via Twitter une vulnérabilité exploitée dans le protocole décentralisé, qui a entraîné la perte de plus de 25 millions de dollars en jetons AMP et ETH. Selon le rapport des développeurs au moment de la mise sous presse, l'attaquant de Cream Finance a réussi à extraire 418.311.571 1.308 XNUMX jetons AMP de Flexa Network, en plus de XNUMX XNUMX jetons ETH de Ethereum. Au total, les pertes en dollars s'élèvent à plus de 25,6 millions. 

Cream Finance a signalé que l'attaquant avait trouvé une faille de sécurité dans le contrat du jeton AMP et avait utilisé un prêt flash pour en extraire des fonds. Par mesure de sécurité, les développeurs ont arrêté les dépôts et les emprunts sur le protocole ; une action qui n’a pas été bien accueillie par certains membres de la communauté crypto qui défendent la décentralisation. 

D'autre part, le protocole DeFi xToken a également souffert d'une faille de sécurité dans laquelle il a perdu environ 4,5 millions de dollars. Sur Twitter, les développeurs de ce protocole ont signalé que le contrat xSNX avait été exploité, tout comme Cream Finance, en utilisant un prêt flash pour extraire les fonds. Les développeurs ont publié un signaler post mortem reconnaissant que la complexité de ce produit a ouvert une « surface importante de vulnérabilités » dans le protocole DeFi, ils ont donc décidé de le fermer. 

Il peut vous intéresser: Les hacks DeFi deviennent populaires et entraînent des pertes d'une valeur de 474 millions de dollars en 2021

Attaques de prêts flash

Les prêts flash deviennent l'un des outils préférés des attaquants opérant dans l'écosystème financier décentralisé. L’émergence de ce type de prêt dans DeFi a fait croître de façon exponentielle le risque au sein de l’écosystème au cours de la dernière année. 

Fin avril, le cabinet de recherche et d'analyse blockchain Messari publié un rapport sur les attaques DeFi survenues depuis 2019. Dans ledit rapport, la société souligne que 40% des vols vers des protocoles décentralisés avaient été réalisés via des prêts flash. CipherTrace, une autre société d'analyse de blockchain, a déclaré au milieu de ce mois que les attaques contre DeFi devenaient populaires et que les pertes de valeur au sein de cet écosystème financier dépassaient 474 millions de dollars jusqu'à présent cette année.

Deuxième exploit jusqu'à présent cette année

Dans le cas de Cream Finance, comme dans xToken, les récentes failles de sécurité sont les deuxièmes exploits dont souffrent ces protocoles en 2021. Cream Finance a été compromise en février de la même année, grâce à un piratage impliquant le projet DeFi Alpha Finance Lab In. Grâce à ce hack, l'attaquant a réussi à extraire 37,5 millions de dollars du protocole. 

Un mois plus tard, mi-mars, le protocole DeFi était également victime d'un Attaque d'usurpation de DNS, qui cherchait à arnaquer les utilisateurs du protocole en affichant une fausse fenêtre sur le site Web de Cream Finance, pour solliciter des informations confidentielles auprès des victimes dans le but de voler leurs clés privées et leurs fonds. Lors de cette attaque, le protocole décentralisé BSC PancakeSwap a également été victime. 

En revanche, au mois de mai, xToken a subi une faille de sécurité assez similaire à celle actuelle, dans le contrat xSNX. Les développeurs signalé sur des pertes de 25 millions de dollars dues à un exploit survenu dans les contrats xSNXa et xBNTa. À ce moment-là, les chercheurs ont signalé que l'attaquant avait exécuté une action combinée pour manipuler le marché sur le réseau Kyber et exploiter un bug dans les oracles des prix des produits dérivés xToken, lui permettant d'extraire les fonds. 

Hacks DeFi

Les récentes attaques contre Crem Finance et xToken surviennent quelques semaines seulement après le plus grand piratage DeFi de l'histoire. Le protocole Poly Network a connu deux semaines de grande incertitude lorsqu'un attaquant a réussi à extraire 613 millions de dollars de son contrat. Heureusement, les développeurs ont trouvé un accord avec le hacker, qui s'est avéré être un « White Hat Hacker », et qui a restitué les fonds volés il y a quelques jours. 

Outre les vulnérabilités récemment exploitées dans ces protocoles DeFi, le échange Bilaxy est également tombé aux mains du attaquer de pirates informatiques, qui ont réussi à violer leur portefeuille chaud ERC-20, retirant du portefeuille plus de 290 jetons ERC-20, d'une valeur comprise entre 170.000 XNUMX USD et plusieurs millions de dollars, selon des informations non confirmées au moment de la mise sous presse. 

Continuer la lecture: L'écosystème DeFi perd 7 millions de dollars supplémentaires lors du récent piratage de The DAO Maker