Levyathan - REKT



Une autre TVL engloutie par un mystérieux monstre.

Levyathan.finance a coulé la semaine dernière, en même temps que sa TVL de 1,5 million de dollars.

L'équipe a depuis publié quelques tweets sonnant assez faux et des interminables messages sur Medium pour tenter de rejeter la faute sur les autres, mais nous allons vous livrer la façon dont nous voyons les choses.

Les développeurs de Levyathan ont laissé les clés privées d'un wallet avec une fonction de mint disponible sur Github.

Environ quatre mois plus tard, ces clés ont été utilisées pour minter et dumper LEV dans les abysses.

Lorsque les utilisateurs ont essayé de récupérer ce qui restait de leur argent, un bug dans le mécanisme de retrait a fait que leurs tokens désormais sans valeur étaient également irrécupérables...

"Passez une bonne journée"

ont déclaré les administrateurs de Levyathan.

Le post-mortem officiel est presque sans intérêt quand on sait qu'ils ont fait en sorte qu'il soit si facile pour quiconque de minter leur token.

Les utilisateurs, à la suite de cet exploit, ont été contraints d'utiliser emergencyWithdraw() pour tenter de récupérer leurs tokens mis en jeu.

Cependant, la logique de emergencyWithdraw() contenait un bug qui faisait référence à rewardDebt (une variable liée au calcul de la récompense) au lieu de user.amount pour déterminer la quantité de tokens à retirer.

Certains utilisateurs qui étaient prompts à retirer de cette manière ont remarqué qu'ils recevaient plus de tokens que prévu, et ont alors continué à retirer de plus en plus de LEV, épuisant le contrat et ne laissant rien à ceux arrivés plus tard.

Dans leur post mortem, Levyathan a fourni une adresse à laquelle les utilisateurs pouvaient renvoyer les fonds "de manière anonyme". Cette adresse a reçu 3 milliards de dog tokens et un PLUGANAL.

L'équipe a ensuite fourni une deuxième adresse qui a reçu jusqu'à présent ~150 000 BUSD (provenant de la première adresse fournie par l'équipe de Levyathan).

Quelle mascarade.

Il est inconcevable de laisser des clés privées clairement identifiées visibles sur un repo public.

Surtout quand elles donnent accès à un contrôle total (pas de multisig) sur le token natif de votre protocole.

Dans leur dernière maladroite communication, l'équipe de Levyathan a souligné le fait que, les clés privées étant disponibles publiquement, nous pouvions être certains "qu'il ne s'agissait pas d'un complot interne".

Nous avions supposé qu'il s'agissait d'un acte de pure incompétence jusqu'à ce qu'ils disent cela : est-ce que l'équipe Levyathan pourrait être assez stupide pour essayer d'utiliser cette situation de "clés exposées" comme alibi ?

À vous de voir...


partager cet article

REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.

faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

avertissement:

REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.