Visor Finance publie un rapport post mortem de 500 000 $ sur DeFi Heist
Le dernier protocole de finance décentralisée (DeFi) à souffrir aux mains de mauvais acteurs est la plate-forme de gestion de coffre-fort Visor Finance.
Dans un rapport d’incident du 20 juin, le protocole DeFi a révélé qu’un attaquant avait obtenu l’accès à un compte qui gérait certaines de ses fonctions d’administration.
Les exploits DeFi abondent
L’acteur malveillant a pu retirer des fonds de dépôts qui n’avaient pas encore été placés dans les positions des fournisseurs de liquidités, a-t-il ajouté.
Visor a indiqué que le montant volé équivalait à environ 16,7% de sa valeur totale verrouillée de 3 millions de dollars, soit environ 500 000 dollars. Il a confirmé que le pirate informatique n’était pas membre de l’équipe et ne comprenait donc pas parfaitement ses garanties de retrait d’urgence,
« Les fonds volés étaient donc limités aux actifs non positionnés et donc le nombre de 500 000 $ n’était pas arbitraire. »
Visor Finance a confirmé avoir utilisé sa trésorerie pour remplacer ce qui avait été volé avant de détailler comment cela s’était produit.
Compte administrateur compromis
Visor Protocol propose ce qu’on appelle un coffre-fort intelligent, qui est un coffre-fort à jeton non fongible (NFT) dans lequel les utilisateurs peuvent créer et déposer des actifs. Ceci est ensuite utilisé pour interagir avec un « hyperviseur » – un contrat intelligent qui connecte les actifs du coffre-fort aux protocoles DeFi externes.
C’est l’hyperviseur qui a été compromis lors de l’incursion et l’équipe a admis qu’il était en faute pour avoir un accès administrateur unique et non un compte multi-signature.
« Mais cela dit, notre erreur n’a pas été d’utiliser un compte multisig pour toutes les fonctions d’administration de l’hyperviseur. Cela a été corrigé depuis. »
Visor a déclaré qu’il avait été initialement conçu de cette façon car il n’était pas pratique d’avoir plusieurs signatures pour gérer un rééquilibrage fréquent sur plusieurs paires chaque fois qu’un rééquilibrage était nécessaire. Une fonction de retrait d’urgence a été mise en œuvre pour tester les hyperviseurs dans l’attente d’un audit de protocole comme garantie au cas où des fonds devraient être récupérés, a-t-il ajouté.
Le protocole DeFi a confirmé que les contrats intelligents eux-mêmes n’étaient pas exploités et que les pratiques standard de l’industrie seront utilisées à l’avenir.
« Nous réalisons l’importance de la gestion des autorisations et n’adopterons les normes et les meilleures pratiques de l’industrie qu’aujourd’hui et à l’avenir. Nous reconnaissons qu’il s’agit d’un espace de conception particulièrement complexe car il traite à la fois de la gestion active et de la sécurité des fonds. »
La semaine dernière, le protocole DeFi Iron Finance a subi de lourdes pertes en raison de ce qu’il a décrit comme une « crypto bank run ».
Réservoirs de prix des jetons VISR
Le jeton natif du protocole a chuté de 64% au moment de l’incident du 19 juin, plongeant de 0,95 $ à 0,34 $ selon CoinGecko.
Au moment d’écrire ces lignes, VISR se négociait à 0,51 $, en baisse de 55% sur la semaine et de 87% depuis son plus haut historique du 5 mai à 4,11 $. La valeur totale verrouillée est d’environ 1,2 million de dollars selon DeFi Llama, une baisse de 66% par rapport à son sommet historique de 3,5 millions de dollars le 17 juin.