Piratage de Hundred Finance, le protocole DeFi : l’hacker s’est enfuit avec 7 millions de dollars

Hundred Finance, le protocole de prêt multi-chaînes, vient de subir un piratage sur Optimism, la solution de mise à l’échelle de la couche 2 d’Ethereum. Ce piratage a fait perdre environ 7 millions de dollars à la plateforme de DeFi.

L’annonce de cette attaque a été confirmée par la plateforme de DeFi le 15 avril. Hundred Finance a fait savoir qu’elle avait pris contact avec le pirate informatique pour à la fois trouver une solution et essayer de récupérer les fonds. 

De plus, elle a fait savoir qu’elle était en coopération avec diverses équipes de sécurité pour résoudre la faille à l’origine du piratage. En outre, le protocole a lancé un appel à toute personne susceptible de lui venir en aide de bien vouloir lui fournir des informations pouvant l’aider à rentrer en possession de ses fonds.

Ainsi, dans un tweet, l’équipe de Hundred Finance a déclaré : 

” Nous espérons une fois de plus que le pirate nous contactera et que nous pourrons, ensemble parvenir à une solution pour la résolution de ce problème “.

Il faut savoir que Hundred Finance n’en est pas à son premier piratage. En effet, en 2022, Hundred Finance et une autre plateforme, Agave ont fait les frais d’un hacking par réintégration sur la plateforme Gnosis Chain. A la suite de cette attaque, Hundred Finance et Agrave avaient à cette époque essuyé des pertes d’un montant de 11 millions de dollars.

Pour rappel, Hundred est un fork de Compound, un protocole très répandu, et a été déployé sur plusieurs blockchains.

De quelle manière la plateforme Hundred Finance a-t-elle été piratée ?

Selon Peckshield, pour voler les fonds de Hundred Finance, le cybercriminel a procédé à un don de 200 WBTC. Le but était de faire grimper le taux de change des hWBTC. Ainsi, grâce à cette opération, le pirate a facilement pu vider les pools de prêts avec une quantité infime de hWBTC.

Les conclusions de Peckshield ont été corroborées par Certik, une autre entreprise spécialisée dans la sécurité de la blockchain. Ainsi, d’après Certik, À travers le don d’une grande quantité de WBTC au contrat htoken, les actions du pirate ont conduit une hausse du taux de change.

Par la suite, le pirate a tiré avantage de ce taux pour se positionner sur un emprunt important conformément au nouveau taux de plateforme, puis il a retiré les fonds qu’il avait déposés au début de l’opération. En conséquence, cette intrusion s’est traduite par une perte de 7,4 millions de dollars pour Hundred.

Pour sa part, Numen Cyber a annoncé avoir perdu 1030 ETH dont la valeur est estimée à plus de 2 millions de dollars.

Plus tôt dans la journée, l’équipe de Hundred Finance a conseillé à sa communauté de ne plus spéculer sur le déroulement de cette attaque. 

Le protocole a indiqué qu’il se concentrait principalement sur la prise de contact avec I’hacker et sur la conclusion d’un accord.

Dans un message sur Twitter, la plateforme explique :

“Dans le même temps, nous continuons à recueillir toutes les informations disponibles en vue d’éventuelles mesures ultérieures”.

La DeFi victime de nombreux piratages en 2023 

LA DeFi n’est pas épargnée par les failles et ce nouveau piratage vient une fois de plus confirmer les risques inhérents à cette activité. L’attaque enregistrée par Hundred Capital n’est qu’une autre des nombreuses pertes subies par la DeFi au cours de l’année 2023. 

En effet, après un début d’année relativement calme, les piratages liés à la DeFi se sont accélérés ces dernières semaines. La première attaque a eu lieu en mars avec le piratage d’Euler Finance.

Au cours des deux premières semaines d’avril, des protocoles DeFi comme Allbridge, Sentiment et Yearn Finance ont également été victimes de piratages. Selon les données de DeFillama, les pertes engendrées par ces piratages s’élèvent à plus de 20 millions de dollars.