Tender.fi : Un whitehat emprunte 1.6M de dollars avec 1 GMX

Tender.fi whitehat GMX

Sur le protocole DeFi Tender.fi, un whitehat a réussi la prouesse d’emprunter près de 1.589 millions de dollars avec seulement 1 GMX, soit 70 $. Une prouesse possible à cause d’une erreur de configuration de l’oracle dans le protocole Tender.fi.

Un whitehat évite le pire sur le protocole Tender.fi

Le protocole Tender.fi vient d’éviter probablement un hack qui aurait pu lui coûter la totalité de ses fonds grâce à l’intervention d’un whitehat sur la blockchain Arbitrum.

En effet, ce matin aux alentours de 8h et après une première transaction de dépôt d’un GMX, soit l’équivalent de 70$, celui-ci à eu la possibilité d’emprunter près de 1.6 millions de dollars, chose qu’il à fait sur de multiples cryptomonnaies comme de l’USDC, de l’ETH, du wBTC ou encore du DAI.

Solde portefeuille whitehat

Il a finalement fallu moins de 20 minutes pour que le whitehat vide une bonne partie des pools de Tender.fi avec différentes transactions.

D’après le message sur la blockchain de la part du whitehat, le problème serait dû à une mauvaise configuration de l’Oracle de la part du protocole DeFi.

Message Oracle Tender.fi

Après quelques messages échangés entre l’équipe de Tender.fi et le présumé whitehat, l’équipe a remis à jour l’Oracle avec une version antérieure de façon à ce que quelqu’un d’autre ne puisse pas exploiter ce bug. En parallèle, les fonds se trouvent toujours sur l’adresse du whitehat et des discussions semblent en cours sur la restitution des fonds du protocole.

Comment est-ce possible ?

En réalité, pour fonctionner, les protocoles DeFi vont faire appel à des Oracles Blockchain qui leur permettent d’avoir la valeur des cryptomonnaies en temps réel. Lors d’un emprunt, le protocole se base sur ces chiffres pour fixer la limite maximale de chaque utilisateur.

Par exemple, vous déposez 1 BTC sur le protocole et sa valeur réelle est de 25 000$. Dans l’absolu et pour simplifier les choses, vous ne pourrez pas emprunter plus de 25 000$. Néanmoins, si l’oracle indique un prix erroné comme 2 500 000$, vous pourrez emprunter beaucoup plus.

Ainsi, si ces chiffres ne sont pas bons ou si le protocole n’interprète pas ces chiffres correctement, il est possible de dépasser ces limites et c’est exactement ce qui s’est passé.

Les piratages de ce type sont terriblement nombreux avec dernièrement le hack du protocole BonqDAO, victime d’une perte de 120 millions de dollars, ou encore Lodestar, également victime d’une manipulation de l’oracle à environ 2 millions de dollars.

Partager l'article sur les réseaux sociaux

Auteur

Depuis 2017, je ne cesse d'explorer l'univers du Bitcoin, de la blockchain des crypto monnaies, des NFT et plus récemment, celui du Web3. Après avoir fondé Au Coin du Bloc en 2021, je met à disposition mes connaissances et tente de vulgariser les aspects obscurs pour rendre abordable et compréhensible cet univers naissant dans lequel je crois fermement.

Articles similaires