Un pirate informatique a utilisé un « prêt flash » massif pour drainer 20 millions de dollars d’UwU Lend, le protocole de prêt crypto fondé par Michael Patryn, un entrepreneur Internet qui exploitait QuadrigaCX, un échange crypto canadien qui s’est effondré en 2018 en raison d’une fraude.

Chez UwU, Patryn, mieux connu sous son pseudonyme 0xSifu, a proposé un accord au pirate informatique : restituez environ 16 millions de dollars en crypto et nous abandonnerons toutes les accusations potentielles.

"Nous offrons une prime de chapeau blanc de 20 % sur tous les fonds prélevés", a écrit Patryn dans un message envoyé sur Ethereum. "Vous ne courez aucun risque que nous poursuivions cette démarche et aucun risque de problèmes d'application de la loi."

Ce stratagème est une procédure opérationnelle standard dans le domaine de la cryptographie, où l'identification des pirates informatiques et la récupération des jetons volés sont une épreuve qui prend du temps. Mais il est souvent ignoré par les pirates informatiques, à quelques exceptions notables près.

Lancé en 2022, UwU Lend est un clone du protocole de prêt Aave, qui était lundi le deuxième plus grand protocole de la finance décentralisée avec plus de 20 milliards de dollars de dépôts d'utilisateurs.

Mais un changement clé a permis au pirate informatique de drainer le protocole dans une série de transactions tôt lundi, selon la société de sécurité crypto Blocksec : l'utilisation d'« oracles » de prix facilement manipulables qui fournissent à l'UwU le prix de divers jetons.

Parallèlement à un prêt flash de plusieurs milliards de dollars – peut-être jusqu'à 4 milliards de dollars, selon Matthew Jiang, directeur des services de sécurité chez Blocksec – le pirate informatique a réussi à siphonner environ 20 millions de dollars de l'UwU.

"L'attaquant a prêté une énorme quantité d'actifs", a déclaré Jiang à DL News. "Il a presque emprunté tous les actifs de la chaîne qui peuvent être prêtés flash."

Sur X, les développeurs d'UwU ont déclaré avoir suspendu le protocole pendant qu'ils enquêtaient sur le piratage. UwU n’a pas immédiatement répondu à la demande de commentaires de DL News lundi.

Prêts flash

Les prêts flash permettent des emprunts sans garantie qui doivent être remboursés au cours de la même transaction sur la blockchain. Les traders exploitent ces prêts pour des opérations d’arbitrage.

Mais les acteurs malveillants peuvent également utiliser des prêts flash pour siphonner les liquidités des protocoles DeFi. Les prêts fournissent le capital nécessaire pour tirer parti des vulnérabilités du code d’un protocole.

L'année dernière, le protocole de prêt Ethereum, Euler Finance, a initialement perdu 197 millions de dollars lors d'une attaque de prêt flash, bien que le pirate informatique ait ensuite restitué 85 % de la crypto volée.

Parmi les autres exploits récents liés aux prêts flash, citons le piratage de Sonne Finance pour 20 millions de dollars le mois dernier et le piratage de Hedgey pour 44 millions de dollars en avril.

Au cours des cinq premiers mois de l'année, les pirates ont volé environ 560 millions de dollars aux protocoles DeFi, soit une augmentation de 32 % par rapport à la même période de l'année précédente, selon les données de DefiLlama.

Patryn était co-fondateur de QuadrigaCX, qui s'est effondrée en raison d'une fraude commise par le co-fondateur Gary Cotten, selon la Bourse des valeurs de l'Ontario.

La bourse s'est effondrée deux ans après que Patryn l'ait quittée. Patryn est devenu plus tard – sous son pseudonyme 0xSifu – le responsable de la trésorerie de Wonderland, un protocole DeFi populaire. Le jeton de ce protocole s’est écrasé en janvier 2022 après la révélation de l’identité de Patryn.

Aleks Gilbert est correspondant DeFi chez DL News. Vous avez un conseil ? Envoyez-lui un e-mail à aleks@dlnews.com.