- L’exploitation d’un prêt flash draine 320 000 $ du contrat de prêt USDC de Moonwell DeFi.
- L’attaquant échange des USDC volés contre des DAI ; Les fonds sont maintenant dans leur portefeuille.
- Des contrats malveillants et TornadoCash ont été utilisés pour exécuter l’attaque.
Moonwell DeFi, un protocole de prêt décentralisé fonctionnant sur le réseau Optimism, a subi un exploit de prêt flash, entraînant une perte de 320 000 $. L’auteur a ciblé le contrat de prêt USDC du protocole, en utilisant une adresse de contrat malveillante déguisée en « mToken ». Cette loi a accordé des approbations de jetons non autorisées, permettant à l’attaquant de drainer des fonds des utilisateurs de Moonwell.
Les systèmes de sécurité de la plateforme DeFi ont rapidement alerté les utilisateurs et signalé les zones de violations illégales, notamment les sources de financement suspectes et les activités contractuelles malveillantes. Les détectives de la chaîne ont également découvert que le portefeuille de l’attaquant était préfinancé via Tornado Cash sur le réseau Ethereum et a stratégiquement échangé l’USDC volé contre du DAI. À l’heure actuelle, les actifs volés se trouvent dans le portefeuille de l’attaquant, ce qui rend la récupération difficile.
Quel est l’impact sur les utilisateurs de Moonwell et la DeFi ?
Les exploits de prêts flash sont une menace croissante dans l’écosystème de la finance décentralisée (DeFi). Dans ce cas, l’attaquant a exploité les vulnérabilités des contrats intelligents de Moonwell, montrant les risques continus auxquels les protocoles sont confrontés malgré des audits rigoureux et des mesures préventives. L’exploit démontre le besoin urgent pour les plateformes DeFi de surveiller, de corriger et d’améliorer en permanence leur infrastructure de sécurité.
Dans l’ensemble, l’espace DeFi représente la plus grande part des actifs volés au premier trimestre 2024. Suivent de près les services centralisés qui ont été les plus ciblés aux T2 et T3. Parmi les piratages de services centralisés les plus tristement célèbres, citons DMM Bitcoin (mai 2024, 305 millions de dollars) et WazirX (juillet 2024, 234,9 millions de dollars).
Lire aussi : DMM Bitcoin s’arrête après un piratage de 320 millions de dollars, 450 000 utilisateurs touchés
Au moment de mettre sous presse, l’équipe de Moonwell n’a pas publié de déclaration officielle sur l’incident ou les remboursements potentiels des utilisateurs. Cette attaque s’ajoute à la liste croissante des violations DeFi très médiatisées en 2024, où des acteurs malveillants ont exploité à plusieurs reprises les failles du protocole à des fins personnelles. Les experts en sécurité suggèrent des défenses multicouches améliorées, des audits réguliers des contrats et des stratégies de réponse aux incidents solides pour réduire les risques futurs.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.