NEAR Protocole : la plateforme DeFi Skyward visée par un hack massif

La DeFi tourmentée par les hacks – Depuis son émergence à la fin 2019, la finance décentralisée (DeFi) n’a cessé d’innover. Cependant, celle-ci repose sur une série de smart contracts qui peuvent malheureusement présenter des failles. Un manque de sécurité qui peut faire des protocoles DeFi des cibles de choix pour les hackers. Le protocole Skyward vient d’en faire les frais dans un hack à 3 millions de dollars. 

Skyward dans le viseur des hackers : 3M de $ dérobés 

Skyward Finance est un protocole qui permet à d’autres protocoles d’effectuer des préventes de jetons en amont de leur lancement. Celui-ci est déployé sur la blockchain NEAR et vise à « permettre une distribution équitable des jetons et la découverte des prix pour les projets basés sur NEAR ». Celui-ci a été lancé en juin 2021, alors que l’engouement était encore important sur la blockchain NEAR. 

Le 3 novembre, les équipes de Skyward ont annoncé à la communauté que le protocole avait été la cible d’une attaque. 

« Nous avons le regret de vous informer que la trésorerie de Skyward a été drainée lors d’une attaque sur le smart contract. Cela a entraîné une perte totale de valeur pour la trésorerie et le jeton $SKYWARD. »

Skyward Finance alerte ses utilisateurs d'un hack
Skyward Finance alerte ses utilisateurs d’un hack – Source : Twitter.

Au total, l’attaquant a dérobé l’équivalent de 3 millions de dollars. En pratique, l’attaquant a réussi à siphonner environ 1,1 million de jetons NEAR dans la trésorerie du protocole. 

Résultat, le cours de la cryptomonnaie SKYWARD a vu son prix divisé par un facteur 10, passant de 12 à 1,35$. Depuis, le cours a continué de chuter et le jeton s’échange actuellement aux alentours de 0,82$.

Néanmoins, les équipes ont tenu à préciser que l’attaque n’avait pas affecté les préventes en cours.

>> Besoin de cryptos pour vos premiers NFT ? Inscrivez-vous sur Binance et économisez 10% de frais (lien commercial) <<

Déroulement de l’attaque

Peu de temps après les faits, les premières conclusions sont tombées quant au mode opératoire utilisé. 

Ainsi, l’attaquant a dans un premier temps acheté une large quantité de jetons SKYWARD sur le protocole Ref Finance. Par la suite, celui-ci s’est rendu sur le protocole Skyward pour échanger ses jetons contre des NEAR via le module de la trésorerie. 

Cependant, lors de sa transaction l’attaquant a passé de nombreux arguments à la fonction redeem_skyward().

Transaction de l'attaque de Skyward.
Transaction de l’attaque de Skyward – Source : Explorer.near.

Bien que l’affaire manque encore de clarté, il semblerait que le fait de passer autant d’arguments lui a permis de démultiplier les fonds récupérés

Ainsi, 130 SKYWARD achetés 500 wNEAR sur Ref, ont pu être échangés contre 139 000 wNEAR sur Skyward Finance. Lors d’une seconde transaction, l’attaquant a pu échanger 2 590 SKYWARD achetés 10 000 wNEAR contre 894 000 wNEAR.  

L’attaquant a ensuite répété à de nombreuses reprises l’opération jusqu’à avoir entièrement vidé les pools de la trésorerie de Skyward. 

De prime abord, il semblerait que des vérifications étaient manquantes dans les contrats de Skyward. En effet, le contrat n’a, semble-t-il, pas vérifié que la valeur restituée était égale à celle déposée par l’attaquant en jetons SKYWARD. 

Les équipes du protocole n’ont pour le moment pas donné d’informations supplémentaires. Celles-ci vont probablement tenter d’entrer en contact avec l’attaquant pour négocier une restitution des fonds. 

Espérons que Skyward suive le chemin du protocole Team Finance. En effet, Team Finance a réussi à trouver un accord avec son attaquant et récupérer 7 millions de dollars.

Les hacks sont des aléas malheureux, mais pas une fatalité. Besoin de tranquillité d’esprit pour vos cryptos ? Inscrivez-vous vite sur la plateforme Binance, LA référence absolue du secteur, et économisez 10% sur vos frais de trading en suivant ce lien (lien commercial).

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.