La plateforme de prêt décentralisée Polter Finance a subi un exploit dévastateur sur la blockchain Fantom, effaçant essentiellement la plupart de ses actifs.
La violation, découverte tôt dimanche, a impliqué la manipulation des mécanismes de tarification des tokens de la plateforme, laissant ses utilisateurs sous le choc.
L'attaquant a commencé par acheminer des fonds via Tornado Cash, un mélangeur de pièces basé sur Ethereum qui dissimule l'origine des fonds. Ces actifs ont ensuite été transférés - transférés d'Ethereum au réseau Fantom - où l'exploit a été exécuté.
Une fois la violation identifiée, Polter Finance a pris des mesures immédiates en suspendant sa plateforme pour contenir les dégâts et a informé les principaux opérateurs de ponts.
Le fondateur pseudonyme de Polter Finance, connu sous le nom de « Whichghost », a déposé un rapport de police à Singapour suite à la violation. Le piratage a entraîné des pertes dépassant 16,1 millions de SGD (environ 12 millions de dollars USD).
Le nouveau contrat intelligent déployé sur la plateforme a été exploité, provoquant des transactions non autorisées drainant les actifs des utilisateurs, selon le rapport. Le fondateur a également signalé des pertes personnelles de 223 219 $.
TK Bien que le rapport de police affirme des pertes totales d'environ 12 millions de dollars, d'autres rapports provenant de sociétés de sécurité web3 suggèrent que le montant réel volé était plus proche de 7 millions de dollars.
Selon les données de DeFi Llama, la TVL de Polter Finance était d'environ 9,7 millions de dollars avant l'attaque, indiquant des pertes substantielles.
Dans une déclaration sur X (anciennement Twitter), l'équipe a écrit : « Nous avons identifié des portefeuilles impliqués et les avons retracés à Binance. Nous enquêtons toujours sur la nature de l'exploit. Nous sommes en train de contacter les autorités. »
La plateforme a également envoyé un message sur la chaîne à l'attaquant, indiquant que l'équipe serait prête à négocier sans engager de poursuites légales si les fonds volés étaient restitués.
Les experts en sécurité Web3 pensent que la cause profonde de l'exploit était liée à une attaque de manipulation des prix utilisant des oracles - des flux de données externes que les plateformes utilisent pour déterminer les prix des tokens.
La société d'audit de contrats intelligents QuillAudits a partagé ses conclusions avec Decrypt, qui montrent que la vulnérabilité était liée à la manière dont Polter Finance a calculé la valeur du token BOO de SpookySwap.
« Le prix du token BOO de SpookySwap dans le pool de prêt était déterminé par le prix au comptant du pool SpookySwap v3 et de la paire v2 ; calculé en fonction du ratio de solde des tokens dans le pool », a déclaré QuillAudits à Decrypt.
En augmentant artificiellement le prix du token BOO, le hacker pouvait déposer une très petite quantité (juste 1 token BOO) et retirer une quantité beaucoup plus importante d'autres actifs, drainant effectivement la plateforme de ses fonds.
« Cette affaire illustre un classique exploit de manipulation d'Oracle. Le prix du token BOO est manipulé par l'attaquant en utilisant un prêt flash pour gonfler artificiellement le prix du token BOO », a déclaré Hakan Unal, scientifique blockchain senior chez Cyvers Ai, à Decrypt.
Polter Finance a annoncé qu'il avait depuis collaboré avec le Security Alliance Information Sharing and Analysis Center (SEAL-ISAC) pour retrouver le pirate.
Cet incident s'ajoute à la liste croissante des violations de sécurité dans le secteur de la crypto. Le montant total perdu à cause des exploits a dépassé 2 milliards de dollars en 2024 seulement, avec des vulnérabilités de code entraînant des pertes de 39,6 millions de dollars sur 44 incidents, selon un récent rapport de Certik.
Édité par Stacy Elliott.
