Le protocole DeFi Abracadabra<\/strong> a subi une perte de 1,8 million de dollars<\/strong> apr\u00e8s qu’un attaquant a exploit\u00e9 une simple erreur de logique dans sa fonction de lot. Les analystes de Hacken<\/strong> affirment que l’attaquant a blanchi des fonds via Tornado Cash<\/strong>.<\/p>\n D\u00e9but octobre, Abracadabra, un protocole de pr\u00eat DeFi permettant aux utilisateurs d’emprunter son stablecoin MIM<\/strong> en utilisant des tokens d\u00e9pos\u00e9s comme garantie, a de nouveau \u00e9t\u00e9 victime d’une attaque. Cette fois, un attaquant a utilis\u00e9 une faille logique dans la fonction de lot du protocole pour emprunter sans fournir de garantie, de la m\u00eame mani\u00e8re qu’un projet fork\u00e9 avait \u00e9t\u00e9 touch\u00e9 quelques jours auparavant, selon une note de recherche partag\u00e9e par Hacken avec crypto.news<\/em>.<\/p>\n Abracadabra a \u00e9t\u00e9 con\u00e7u pour permettre aux utilisateurs d’utiliser des tokens g\u00e9n\u00e9rant des int\u00e9r\u00eats comme garantie afin d’emprunter un token index\u00e9 sur le dollar am\u00e9ricain, appel\u00e9 Magic Internet Money (MIM)<\/strong>. Le syst\u00e8me repose sur deux \u00e9l\u00e9ments : les Chaudrons<\/strong>, qui g\u00e8rent les r\u00e8gles d’emprunt, et le DegenBox<\/strong>, le coffre partag\u00e9 qui d\u00e9tient r\u00e9ellement les tokens. En r\u00e9sum\u00e9, vous d\u00e9posez une garantie dans un Chaudron, et le DegenBox garde une trace de l’argent en coulisses.<\/p>\n La version courte de ce qui a mal tourn\u00e9 est la suivante : un drapeau de s\u00e9curit\u00e9, cens\u00e9 forcer une v\u00e9rification finale pour s’assurer qu’un emprunteur dispose r\u00e9ellement d’une garantie, a \u00e9t\u00e9 d\u00e9sactiv\u00e9 au sein d’une seule transaction. Comme le souligne le rapport de Hacken, l’attaquant <\/p>\n \u00ab\u00a0a exploit\u00e9 une faille logique dans la fonction cook d’Abracadabra, lui permettant d’emprunter des tokens MIM puis de r\u00e9initialiser imm\u00e9diatement le drapeau de validation qui \u00e9tait cens\u00e9 v\u00e9rifier s’il avait suffisamment de garantie.\u00a0\u00bb<\/p><\/blockquote>\n Cela a permis un emprunt unique, sans garantie, \u00e0 travers plusieurs Chaudrons.<\/p>\n Voici comment le flux a fonctionn\u00e9, en termes simples. Abracadabra utilise une fonction group\u00e9e appel\u00e9e cook<\/strong>, permettant aux utilisateurs d’effectuer plusieurs actions en une seule transaction. Par exemple, d\u00e9poser une garantie et emprunter en un seul clic. L’une de ces actions, comme l’\u00e9tape \u00ab\u00a0emprunter\u00a0\u00bb, d\u00e9finit un drapeau nomm\u00e9 needsSolvencyCheck<\/strong> sur vrai, ce qui signifie \u00ab\u00a0\u00e0 la fin de cette transaction, v\u00e9rifiez que l’emprunteur est solvable.\u00a0\u00bb Cependant, une autre action pouvant \u00eatre ex\u00e9cut\u00e9e dans le m\u00eame lot appelle _additionalCookAction(\u2026)<\/strong>. Comme le souligne Hacken, cette fonction a \u00e9t\u00e9 d\u00e9clar\u00e9e comme \u00ab\u00a0virtuelle\u00a0\u00bb et n’a jamais \u00e9t\u00e9 impl\u00e9ment\u00e9e, renvoyant par d\u00e9faut un objet vide o\u00f9 tout \u00e9tait d\u00e9fini sur faux, y compris le drapeau needsSolvencyCheck<\/strong>.<\/p>\n En cons\u00e9quence, l’attaquant a appel\u00e9 l’action d’emprunt, puis a ex\u00e9cut\u00e9 l’action par d\u00e9faut qui a r\u00e9initialis\u00e9 le drapeau, et \u00e0 la fin, le protocole n’a jamais v\u00e9rifi\u00e9 la solvabilit\u00e9. Les analystes affirment que l’attaquant a frapp\u00e9 six Chaudrons d’un coup, prenant environ 1,79 million de MIM<\/strong> et l’\u00e9changeant contre de l’ETH. Les attaquants ont exploit\u00e9 la vuln\u00e9rabilit\u00e9 et ont syst\u00e9matiquement travers\u00e9 six Chaudrons diff\u00e9rents, drainant chacun \u00ab\u00a0en utilisant la m\u00eame technique avec un appel de fonction cook d\u00e9di\u00e9,\u00a0\u00bb<\/em> expliquent les analystes.<\/p>\n Apr\u00e8s l’\u00e9change, l’attaquant a achemin\u00e9 les fonds via Tornado Cash<\/strong>, un protocole de mixage crypto, en envoyant principalement 10 ETH<\/strong> chacun, progressivement au cours de la journ\u00e9e suivante. Ce n’est pas la premi\u00e8re fois que le code CauldronV4<\/strong> d’Abracadabra est impliqu\u00e9 dans des probl\u00e8mes. D’autres incidents plus t\u00f4t cette ann\u00e9e ont exploit\u00e9 diff\u00e9rents cas limites dans la m\u00eame famille de contrats.<\/p>\n Ce qui est int\u00e9ressant, c’est la rapidit\u00e9 avec laquelle le d\u00e9ploiement fork\u00e9 a r\u00e9agi. Selon le rapport, un fork appel\u00e9 Synnax<\/strong> a mis en pause ou retir\u00e9 de la liste blanche son ma\u00eetre CauldronV4<\/strong> sur son propre DegenBox<\/strong> quelques jours avant le drain d’Abracadabra, sugg\u00e9rant que l’\u00e9quipe du fork avait identifi\u00e9 le m\u00eame sch\u00e9ma de vuln\u00e9rabilit\u00e9, indiquant que le risque \u00e9tait visible pour les \u00e9quipes surveillant le code, s’il n’\u00e9tait pas corrig\u00e9.<\/p>\n","protected":false},"excerpt":{"rendered":" Perte de 1,8 million de dollars pour le protocole DeFi Abracadabra Le protocole DeFi Abracadabra a subi une perte de 1,8 million de dollars apr\u00e8s qu’un attaquant a exploit\u00e9 une simple erreur de logique dans sa fonction de lot. Les analystes de Hacken affirment que l’attaquant a blanchi des fonds via Tornado Cash. Contexte de l’attaque D\u00e9but octobre, Abracadabra, un protocole de pr\u00eat DeFi permettant aux utilisateurs d’emprunter son stablecoin MIM en utilisant des tokens d\u00e9pos\u00e9s comme garantie, a de nouveau \u00e9t\u00e9 victime d’une attaque. Cette fois, un attaquant a utilis\u00e9 une faille logique dans la fonction de lot du<\/p>\n","protected":false},"author":3,"featured_media":10014,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[13,65,1927,8781,8782,2038],"class_list":["post-10015","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-ethereum","tag-hack","tag-hacken","tag-magic-internet-money","tag-mim","tag-tornado-cash"],"yoast_description":"Le protocole DeFi Abracadabra a perdu 1,8 million de dollars en raison d'une faille logique exploit\u00e9e par un attaquant, mettant en lumi\u00e8re les vuln\u00e9rabilit\u00e9s de sa fonction de lot.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/10015","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/comments?post=10015"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/10015\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media\/10014"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media?parent=10015"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/categories?post=10015"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/tags?post=10015"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Contexte de l’attaque<\/h2>\n
Fonctionnement d’Abracadabra<\/h2>\n
La faille exploit\u00e9e<\/h2>\n
Le m\u00e9canisme de l’attaque<\/h2>\n
Blanchiment des fonds<\/h2>\n