High-Tech News

La plate-forme de crypto-monnaie Wormhole piratée pour 325 millions de dollars après une erreur GitHub


Mercredi, la plateforme de finance décentralisée (DeFi) Wormhole a été victime du plus grand vol de crypto-monnaie cette année – et parmi les cinq plus grands hacks cryptographiques de tous les temps – lorsqu’un attaquant a exploité une faille de sécurité pour s’emparer de près de 325 millions de dollars.

L’attaque semble résulter d’une récente mise à jour du référentiel GitHub du projet, qui a révélé un correctif pour un bogue qui n’avait pas encore été déployé sur le projet lui-même.

L’attaque a eu lieu le 2 février et a été remarquée lorsqu’un message du compte Twitter Wormhole a annoncé que le réseau était en train d’être démonté pour maintenance tandis qu’un exploit potentiel a été étudié. UNE poste plus tard de Wormhole a confirmé le piratage et le montant volé.

Peu de temps après l’attaque, l’équipe de Wormhole a également offert au pirate une prime de 10 millions de dollars pour restituer les fonds, qui a été intégré sous forme de texte dans un transaction envoyé à l’adresse du portefeuille Ethereum de l’attaquant.

Données de transaction Ethereum montrant un message à l'attaquant du trou de ver offrant une prime de 10 millions de dollars

Wormhole fournit un service connu sous le nom de « pont » entre les blockchains, essentiellement un système d’entiercement qui permet de déposer un type de crypto-monnaie afin de créer des actifs dans une autre crypto-monnaie. Cela permet à une personne ou à une entité détenant des avoirs dans une crypto-monnaie d’effectuer des transactions et des achats en utilisant une autre, un peu comme pouvoir approvisionner un compte bancaire en dollars, puis utiliser une carte bancaire pour acheter quelque chose dont le prix est en euros.

Pour mener à bien l’attaque, l’attaquant a réussi à falsifier une signature valide pour une transaction qui leur a permis de frapper librement 120 000 wETH – un Ethereum « wapé » équivalent sur la blockchain Solana, d’une valeur équivalente à 325 millions de dollars au moment du vol – sans avoir d’abord saisi un montant équivalent. Celle-ci a ensuite été échangée contre environ 250 millions de dollars en Ethereum qui a été envoyé de Wormhole au compte des pirates, liquidant ainsi une grande partie des fonds Ethereum de la plateforme qui étaient détenus en garantie des transactions sur la blockchain Solana.

Les commits de code open source montrent que le code qui aurait corrigé cette vulnérabilité a été écrit dès le 13 janvier et chargé dans le dépôt Wormhole GitHub le jour de l’attentat. Quelques heures plus tard, la vulnérabilité a été exploitée par le pirate informatique, suggérant que les mises à jour n’avaient pas encore été appliquées à l’application de production.

En tant que développeur de logiciels Matthew Garrett observé sur Twitter, le téléchargement de code a été décrit comme s’il s’agissait d’une mise à jour de version courante, mais contenait en fait des modifications importantes – un fait qui aurait pu avertir l’attaquant du fait qu’il s’agissait d’un correctif de sécurité déguisé.

Un autre fichier disponible via la page Wormhole Github également détaille un audit de sécurité menée par la société de recherche en sécurité Neodyme entre juillet et septembre 2021. Il n’est pas clair si la vulnérabilité était présente pendant la période d’audit, et Neodyme n’a pas répondu à une demande de commentaire.

En raison de la nature des applications inter-chaînes, l’attaque a temporairement laissé un énorme déficit entre la quantité d’Ethereum enveloppé et d’Ethereum régulier détenu dans le pont Wormhole – comme si l’actif collatéral adossant un prêt avait soudainement disparu. Selon Forbes, l’attaque causé une chute de 10 % dans la valeur de la crypto-monnaie Solana à la suite du piratage.

L’équipe de Wormhole a annoncé que davantage d’Ethereum seront ajoutés au pont pour remplacer les fonds de garantie volés, ce qui signifie que l’entreprise devra trouver 325 millions de dollars d’actifs pour combler l’écart.

À ce stade, on ne sait pas d’où proviendront les fonds. Les questions envoyées à Jump Crypto, société mère des développeurs de l’application Wormhole, n’avaient pas reçu de réponse au moment de la publication.





Source link

Quelle est votre réaction ?

Excité
0
Heureux
0
J'adore
0
Pas certain
0
ridicule
0

Vous aimerez aussi

Laisser une réponse

Votre adresse e-mail ne sera pas publiée.

Plus dans:High-Tech News