Une violation massive d'Ethereum déclenche un flot d'actifs Polkadot contrefaits, gonflant l'offre de 1 milliard d'unités

Table des matières Un acteur malveillant a exploité une faille de sécurité dans le contrat intelligent de passerelle Hyperbridge déployé sur Ethereum, créant 1 milliard de jetons Polkadot pontés par des moyens non autorisés. La société de surveillance de la cybersécurité CertiK a identifié et signalé la violation. Leur analyse a révélé que l'auteur a déployé un message fabriqué pour assumer les privilèges administratifs sur le contrat de jeton DOT ponté opérant sur Ethereum. https://twitter.com/CertiKAlert/status/2043557571609731268?s=20 En tirant parti de ces autorisations élevées, le pirate informatique a généré 1 milliard de jetons via une seule transaction malveillante. La plate-forme d'analyse Onchain Lookonchain a documenté que cette offre massive de jetons a été immédiatement liquidée grâce à une transaction globale. L'auteur du crime a obtenu 108,2 ETH grâce à cette vente massive, d'une valeur d'environ 237 000 $ lors de la transaction. Ce bénéfice relativement modeste démontre la faible liquidité disponible pour l’actif ponté sur Ethereum. Étant donné que la variante enveloppée avait un nombre de détenteurs et un volume de négociation minimes, le marché manquait de profondeur suffisante pour acheter un milliard de jetons à un prix proche de la juste valeur. L’incident de sécurité a affecté exclusivement la représentation du DOT basée sur Ethereum et n’a pas compromis l’infrastructure principale de la chaîne de relais de Polkadot. La crypto-monnaie DOT légitime sur l’écosystème Polkadot n’a subi aucun dommage. Seule la représentation synthétique inter-chaînes du DOT existant sur [[LINK_START_0]]Ethereum[[LINK_END_0]] a été victime de cette attaque. Les crypto-monnaies pontées servent de représentations indépendantes de la blockchain des actifs natifs. Leur intégrité repose entièrement sur l’architecture de sécurité des contrats intelligents sous-jacents. L'infrastructure Hyperbridge facilite l'interopérabilité entre des réseaux blockchain disparates. Une faille de sécurité dans son contrat de passerelle semble être à l'origine de la vulnérabilité exploitée dans cet incident. Au moment de la rédaction de ce rapport, ni l'équipe de développement de Polkadot ni les opérateurs du protocole Hyperbridge n'avaient publié de déclarations publiques officielles. La méthodologie technique précise utilisée reste à l’étude. La confirmation complète du vecteur d’attaque est en attente. Les exploits des ponts inter-chaînes et les vulnérabilités des infrastructures d’interopérabilité sont apparus comme des défis de sécurité persistants dans l’ensemble de l’écosystème des crypto-monnaies. Pour cet incident particulier, l’impact monétaire est resté relativement contenu par rapport à d’autres compromissions de ponts, dans lesquelles des acteurs malveillants ont réussi à extraire des centaines de millions d’actifs numériques. L’évaluation préliminaire de CertiK a identifié la falsification de messages comme la technique permettant l’élévation des privilèges administratifs, bien que la documentation complète d’analyse post-incident n’ait pas encore été publiée. Les données vérifiées actuelles confirment que l'adresse du portefeuille de l'attaquant a collecté 108,2 ETH après la liquidation du jeton, sans aucune activité malveillante supplémentaire détectée au moment de la publication.