Exploitation de Voltage Finance
Un hacker impliqué dans l’exploitation de 4,67 millions de dollars du protocole de prêt de finance décentralisée Voltage Finance en 2022 a récemment transféré une partie de l’Ether volé vers Tornado Cash après une période d’inactivité. La société de sécurité blockchain CertiK a annoncé dans un post du 6 mai sur X que 100 Ether, d’une valeur actuelle estimée à 182 783 $, ont été transférés d’une adresse initialement liée à l’exploit, mais peuvent être retracés jusqu’au hacker.
Détails de l’attaque
En mars 2022, le cybercriminel a profité d’une fonction de rappel intégrée dans la norme de token ERC677, ce qui lui a permis de vider la réserve de prêt de la plateforme grâce à une attaque par réentrance, selon CertiK. Après cet exploit, Voltage Finance a rapporté que le hacker avait dérobé divers stablecoins et autres crypto-monnaies, notamment l’USDC, le Binance USD (BUSD), des Bitcoins enveloppés et des tokens Ethereum.
L’adresse utilisée par le hacker pour transférer les fonds vers Tornado Cash était inactive depuis novembre dernier, la dernière transaction ayant eu lieu il y a 166 jours, selon les données d’Etherscan.
Mesures prises par Voltage Finance
Dans son bilan de l’exploit de 2022, Voltage Finance a indiqué que l’adresse de l’attaquant avait été signalée sur Etherscan, et les échanges avaient été priés de bloquer toute transaction. Des tentatives ont également été faites pour contacter l’attaquant et négocier une récompense en échange du retour des fonds.
Les pools de staking de Voltage Finance, qui avaient déjà été compromis lors de l’exploit de mars, l’ont de nouveau été le 18 mars. Dans une déclaration publiée sur X, le protocole a annoncé qu’un total de 322 000 $ avait été volé. Dans son bilan du 20 mars, Voltage Finance a révélé avoir offert à l’attaquant une récompense de 50 000 $ pour le retour des fonds et qu’il avait peut-être identifié un développeur ayant travaillé sur les pools de Simple Staking, qui pourrait être impliqué.
« Bien que nous n’ayons pas encore confirmé s’il est le hacker, par précaution, nous avons immédiatement révoqué son accès et déposé des rapports de police pour collaborer avec les forces de l’ordre et les échanges centralisés, » a déclaré le protocole.
Augmentation des pertes en crypto-monnaies
Les pertes globales en crypto-monnaies ont explosé de 1 163 % en avril, la plus grande part provenant d’un seul vol d’un portefeuille d’un individu âgé aux États-Unis, après qu’un hacker a utilisé des tactiques avancées d’ingénierie sociale pour dérober 3 520 Bitcoin, d’une valeur de 330,7 millions de dollars.
En excluant cette attaque, les pertes en crypto pour avril se sont élevées à 34 millions de dollars, soit une augmentation de 21 % par rapport à mars. Cependant, le mois a également vu plus de 18 millions de dollars restitués lorsque le hacker responsable de l’exploit de 7,5 millions de dollars de l’échange décentralisé KiloEx a restitué tous les fonds volés seulement quatre jours après l’attaque. De plus, l’association ZKsync a récupéré des tokens volés d’une valeur de 5 millions de dollars lors d’un incident de sécurité le 15 avril, impliquant son contrat de distribution d’airdrop.
