La faiblesse algorithmique s'avère coûteuse alors que la plate-forme de stockage cryptographique devient la proie d'un braquage de 29 000 $

Le protocole de confidentialité basé sur Algorand, HermesVault, a définitivement arrêté ses opérations après qu'une faille de sécurité ait entraîné le vol d'environ 261 000 jetons ALGO $, d'une valeur d'environ 29 466 $ au moment de l'incident. La nouvelle a été confirmée par l'ingénieur en chef du protocole Giulio Pizzini dans un article sur X, détaillant la nature technique de l'exploit.

Défaut technique dans la vérification du retrait

Selon Pizzini, le circuit à connaissance nulle (zk) au cœur du mécanisme de confidentialité d'HermesVault est resté sécurisé. Cependant, la vulnérabilité a été découverte dans la logique de défense contre la réinitialisation des clés dans le script de vérification du retrait. Cette faille a permis à l'attaquant de contourner entièrement le processus de vérification zk et de retirer des fonds sans autorisation appropriée.

Pizzini a déclaré que la vulnérabilité avait depuis été corrigée et qu'une partie importante des fonds volés – 230 000 $ ALGO – avait déjà été restituée au projet. Les 30 000 $ ALGO restants sont toujours portés disparus, mais l'équipe a lancé un processus de remboursement pour les utilisateurs concernés.

Processus de remboursement pour les victimes

Les victimes qui ont perdu des fonds lors du vol ALGO restant de 30 000 $ sont éligibles à un remboursement complet. Pour réclamer une indemnisation, les utilisateurs doivent prouver la propriété de leur adresse concernée et fournir une note secrète associée à leur transaction. L'équipe n'a pas divulgué de date limite précise pour les demandes de remboursement, mais a exhorté les utilisateurs à agir rapidement.

Implications pour les protocoles de confidentialité

L'incident HermesVault souligne la complexité de la sécurisation des protocoles DeFi axés sur la confidentialité. Même si les preuves sans connaissance sont largement considérées comme robustes, les erreurs de mise en œuvre dans la logique environnante, telles que les scripts de retrait, peuvent néanmoins exposer des vulnérabilités critiques. Ce cas rappelle que même les systèmes basés sur zk bien audités nécessitent des examens de sécurité complets de tous les composants auxiliaires.

Pour l'écosystème d'Algorand, la fermeture d'un protocole de confidentialité notable pourrait soulever des questions sur la viabilité à long terme des solutions de confidentialité sur le réseau, d'autant plus que la surveillance réglementaire des transactions anonymes s'intensifie à l'échelle mondiale.

Conclusion

La fermeture d'HermesVault suite au piratage $ALGO de 29 000 $ met en évidence les défis de sécurité persistants dans la finance décentralisée. Alors que l’équipe a agi rapidement pour corriger la faille et initier les remboursements, l’incident a définitivement mis fin aux opérations du protocole. Les utilisateurs dont les fonds sont concernés sont encouragés à suivre le processus de remboursement officiel pour récupérer leurs actifs.

FAQ

Q1 : Qu'est-ce qui a causé le piratage d'HermesVault ? Le piratage a exploité une faille dans la logique de défense contre la réinitialisation des clés du script de vérification du retrait, et non dans le circuit à connaissance nulle lui-même. Cela a permis à l'attaquant de contourner la vérification zk et de retirer des fonds.

Q2 : Quel montant a été volé et quel montant a été remboursé ? Environ 261 000 $ALGO (29 466 $) ont été volés. Sur ce montant, 230 000 $ALGO ont été remboursés, laissant 30 000 $ALGO encore impayés.

Q3 : Comment les victimes peuvent-elles demander un remboursement pour les $ALGO volés restants ? Les victimes doivent prouver qu'elles sont propriétaires de leur adresse concernée et fournir une note secrète associée à leur transaction pour recevoir un remboursement complet.