Harvest Finance admet qu’une « erreur d’ingénierie » a conduit à un vol de 24 M$

Le rapport post-mortem a promis que les fonds des utilisateurs touchés seraient restaurés

Image d'un hacker sur un ordinateur
Le manque de sécurité des contrats intelligents a entraîné une mauvaise récolte pour l’agrégateur de rendement

Harvest Finance est un agrégateur yield DeFi qui permet aux utilisateurs d’obtenir des rendements (yield) maximums en mettant en œuvre des stratégies d’investissement sur des projets DeFi. Cependant, le yield farming est encore expérimental et les contrats intelligents comportent des risques comme nous l’avons vu hier.

Le piratage a eu lieu le 26 octobre à 02:53:31 UTC lorsque l’attaquant a volé un total de 24 millions de dollars dans les coffres de Harvest Finance en manipulant la valeur des actifs à l’intérieur du pool Y de Curve.fi. L’attaquant a exploité un arbitrage et une perte impermanente en utilisant un important prêt flash.

Le rapport post-mortem de Harvest Finance, publié tard hier soir, a détaillé comment l’agresseur a utilisé les trades du marché avec un grand volume pour faire baisser le prix du FUSDC d’environ 1 %. Cependant, comme le contrôle d’arbitrage dans la stratégieHarvest n’a pas dépassé le seuil de 3 %, la transaction n’a pas été annulée.

Après 17 attaques sur le vault de l’USDC, l’attaquant a répété le processus sur le vault de l’USDT, ce qui a pris au total 7 minutes, bien qu’il ait ensuite renvoyé près de 2,5 millions de dollars au deployer de Harvest.

Le piratage a fait chuter le cours du vault de l’USDC de 13,8 % et celui du vault de l’USDT de 13,7 %. Harvest Finance a estimé une perte de 3,2 % de la valeur totale bloquée dans le protocole et les données de CoinGecko montrent que FARM, le token natif de Harvest Finance, a chuté de 58 %, passant de 232,78 $ à 96,90 $ dans les 3 heures suivant l’attaque.

En réponse, Harvest Finance a pris la responsabilité de l’erreur technique qui a permis à l’attaque d’avoir lieu et fait de la réparation pour les utilisateurs touchés une priorité absolue. Ils retardent également les améliorations du contrat intelligent, dont la publication était prévue aujourd’hui, jusqu’à ce que leur niveau de sécurité ait été réévaluée.

L’équipe étudie actuellement des stratégies d’atténuation pour l’avenir, telles qu’un seuil plus strict pour le contrôle d’arbitrage – en utilisant des oracles pour déterminer le prix des actifs – et la mise en place d’un mécanisme d’engagement et de révocation des dépôts, ce qui signifierait que les utilisateurs ne pourraient plus effectuer de dépôts et de retraits au cours d’une même transaction.

Harvest Finance a déclaré qu’elle n’avait aucun intérêt à doxxer l’attaquant mais a offert une prime de 100 000 $ à la première personne ou équipe pour l’aider à restituer les fonds ou une prime de 400 000 $ si la restitution a lieu dans les prochaines 36 heures.

Cependant, certains membres de la communauté des crypto-monnaies pensent que les développeurs de Harvest Finance pourraient en fait être impliqués dans l’attaque. L’analyste DeFi Chris Blec a souligné dimanche que Harvest Finance était dirigée par une équipe anonyme avec une clé d’administration qui pourrait potentiellement être utilisée pour drainer des fonds.

Traduit par Carolane de Palmas