Error 500 (Server Error)!!1500.That’s an error.There was an error. Please try again later.That’s all we know.

Garden Finance, un protocole de pont inter-chaînes, a perdu environ 11 millions de dollars après qu'un solveur compromis ait drainé les fonds de la plate-forme.

Le protocole offre une prime de 10 % pour la restitution des fonds volés. Il cherche également de l’aide pour comprendre exactement comment l’exploit s’est produit.

Que s'est-il passé et pourquoi c'est important

L’attaque visait le solveur de Garden Finance, essentiellement le mécanisme de teneur de marché qui facilite les transactions inter-chaînes. Les ponts déplacent les actifs entre différentes blockchains, et les solveurs sont les intermédiaires qui font correspondre et exécutent ces transactions.

Garden Finance a déclaré que les fonds des utilisateurs n'étaient pas affectés par l'exploit, ce qui suggère que la vulnérabilité était limitée à l'infrastructure opérationnelle du protocole plutôt qu'aux actifs déposés par les utilisateurs.

Les chercheurs en sécurité ont exprimé leurs inquiétudes quant à savoir si le solveur compromis était véritablement un tiers indépendant ou faisait partie de la propre infrastructure interne de Garden. Dans ce dernier cas, la vulnérabilité ne provenait pas d’un acteur externe malhonnête exploitant un système sans autorisation, mais plutôt d’une défaillance dans la gestion des clés et la sécurité opérationnelle du protocole.

De nombreux protocoles de pont s'appuient sur un petit nombre d'acteurs de confiance pour vérifier et relayer les messages entre les chaînes. Lorsque ces acteurs sont compromis, que ce soit par l’ingénierie sociale, une mauvaise hygiène des clés ou un accès interne, le système tout entier peut s’effondrer.

Les ponts restent la cible la plus douce de la cryptographie

Les analystes en sécurité ont averti à plusieurs reprises que de nombreuses architectures de ponts sont intrinsèquement fragiles et reposent sur une faible vérification des messages et une gestion centralisée des clés. Les ponts se situent à l'intersection de plusieurs modèles de confiance, et le pont lui-même doit souvent concilier ces différences via des relais hors chaîne ou des systèmes multisig qui introduisent un risque de centralisation.

L'exploit Garden Finance est arrivé à peu près au même moment qu'un autre incident de pont impliquant le pont Ronin, qui a vu 11,33 millions de dollars retirés par un robot à valeur extractible maximale (MEV). Sky Mavis, la société derrière Ronin, a affirmé que les réserves principales du pont restaient sûres.

Le pont Ronin était auparavant la cible de l'un des plus grands exploits DeFi jamais réalisés, un vol de 620 millions de dollars lié à des pirates informatiques nord-coréens, qui est devenu une étude de cas expliquant pourquoi la centralisation de la confiance dans un petit ensemble de validateurs crée des points de défaillance uniques catastrophiques. Le pont Wormhole a subi un exploit distinct de 322 millions de dollars.

Ce que cela signifie pour les investisseurs

L'offre de prime de 10 % de Garden Finance vise à inciter l'attaquant à préférer un paiement garanti au risque d'être suivi ou poursuivi. Le fait que Garden demande simultanément de l’aide pour comprendre la cause profonde de l’exploit suggère que l’équipe est toujours en train de reconstituer ce qui n’a pas fonctionné.

Chaque interaction de pont est un pari implicite que l’infrastructure hors chaîne, la gestion des clés et la logique des contrats intelligents fonctionnent correctement, simultanément, dans des conditions contradictoires.