0

  • Votre panier est vide.

  • COMPTE

Un bogue logiciel a permis aux pirates de drainer 31 millions de dollars d’un service de cryptographie

Certains articles de veille peuvent faire l'objet de traduction automatique.

Démarrage de la blockchain MonoX Les finances ont déclaré mercredi qu’un pirate informatique avait volé 31 millions de dollars en exploitant un bogue dans le logiciel utilisé par le service pour rédiger des contrats intelligents.

La société utilise un protocole financier décentralisé connu sous le nom de MonoX qui permet aux utilisateurs d’échanger des jetons de monnaie numérique sans certaines des exigences des échanges traditionnels. « Les propriétaires de projets peuvent répertorier leurs jetons sans avoir à supporter les exigences de capital et se concentrer sur l’utilisation des fonds pour la construction du projet au lieu de fournir des liquidités », les représentants de la société MonoX écrit en novembre. « Cela fonctionne en regroupant les jetons déposés dans une paire virtuelle avec vCASH, pour offrir une conception de pool de jetons unique. »

Une erreur comptable intégrée au logiciel de l’entreprise a permis à un attaquant de gonfler le prix du jeton MONO, puis de l’utiliser pour encaisser tous les autres jetons déposés, MonoX Finance révélé dans un article. Le transport s’élevait à 31 millions de dollars de jetons sur les chaînes de blocs Ethereum ou Polygon, toutes deux prises en charge par le protocole MonoX.

Plus précisément, le hack a utilisé le même jeton que tokenIn et tokenOut, qui sont des méthodes pour échanger la valeur d’un jeton contre un autre. MonoX met à jour les prix après chaque swap en calculant de nouveaux prix pour les deux jetons. Lorsque l’échange est terminé, le prix de tokenIn, c’est-à-dire le jeton envoyé par l’utilisateur, diminue et le prix de tokenOut, ou le jeton reçu par l’utilisateur, augmente.

En utilisant le même token pour tokenIn et tokenOut, le pirate a considérablement gonflé le prix du token MONO car la mise à jour du tokenOut a écrasé la mise à jour du prix du tokenIn. Le pirate a ensuite échangé le jeton contre 31 millions de dollars de jetons sur les blockchains Ethereum et Polygon.

Il n’y a aucune raison pratique d’échanger un jeton contre le même jeton, et donc le logiciel qui effectue les transactions n’aurait jamais dû autoriser de telles transactions. Hélas, il l’a fait, malgré la réception de MonoX trois audits de sécurité cette année.

Les pièges des contrats intelligents

« Ces types d’attaques sont courants dans les contrats intelligents, car de nombreux développeurs ne se sont pas chargés de définir les propriétés de sécurité de leur code », a déclaré Dan Guido, un expert de la sécurisation des contrats intelligents comme celui piraté ici. «Ils ont eu des audits, mais si les audits indiquent seulement qu’une personne intelligente a regardé le code pendant une période donnée, alors les résultats ont une valeur limitée. Les contrats intelligents ont besoin de preuves vérifiables qu’ils font ce que vous avez l’intention de faire et uniquement ce que vous avez l’intention de faire. Cela signifie des propriétés de sécurité définies et des techniques utilisées pour les évaluer.

Le PDG du cabinet de conseil en sécurité Trail of Bits, Guido a poursuivi :

La plupart des logiciels nécessitent une atténuation des vulnérabilités. Nous recherchons de manière proactive les vulnérabilités, reconnaissons qu’elles peuvent ne pas être sécurisées lors de leur utilisation et construisons des systèmes pour détecter quand elles sont exploitées. Les contrats intelligents nécessitent l’élimination de la vulnérabilité. Les techniques de vérification des logiciels sont largement utilisées pour offrir des assurances prouvables que les contrats fonctionnent comme prévu. La plupart des problèmes de sécurité dans les contrats intelligents surviennent lorsque les développeurs adoptent la première approche de sécurité au lieu de la seconde. Il existe de nombreux contrats et protocoles intelligents volumineux, complexes et très précieux qui ont évité des incidents, aux côtés des nombreux qui ont été instantanément exploités lors de leur lancement.

Igor Igamberdiev, chercheur en blockchain a pris sur Twitter pour décomposer la composition des jetons drainés. Les jetons comprenaient 18,2 millions de dollars d’Ethereum enveloppé, 10,5 millions de jetons MATIC et 2 millions de dollars de WBTC. Le transport comprenait également de plus petites quantités de jetons pour Wrapped Bitcoin, Chainlink, Unit Protocol, Aavegotchi et Immutable X.

Seul le dernier hack DeFi

MonoX n’est pas le seul protocole financier décentralisé à être victime d’un piratage de plusieurs millions de dollars. En octobre, Indexed Finance mentionné il a perdu environ 16 millions de dollars dans un hack qui a exploité la façon dont il rééquilibre les pools d’index. Plus tôt ce mois-ci, la société d’analyse de blockchain Elliptic mentionné les protocoles dits DeFi ont perdu 12 milliards de dollars à cause du vol et de la fraude. Les pertes au cours des 10 premiers mois environ de cette année ont atteint 10,5 milliards de dollars, contre 1,5 milliard de dollars en 2020.

« La relative immaturité de la technologie sous-jacente a permis aux pirates de voler les fonds des utilisateurs, tandis que les profonds réservoirs de liquidités ont permis aux criminels de blanchir les produits du crime tels que les ransomwares et la fraude », a déclaré le rapport Elliptic. « Cela fait partie d’une tendance plus large à l’exploitation de technologies décentralisées à des fins illicites, qu’Elliptic appelle DeCrime. »

Voir aussi :

décembre 5, 2021

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)