Violations de sécurité dans la finance décentralisée
Deux plateformes de finance décentralisée, ZKsync et KiloEx, ont subi d’importantes violations de sécurité cette semaine, entraînant des pertes de plus de 12 millions de dollars. ZKsync a révélé le 15 avril qu’un compte administrateur compromis avait minté des tokens d’airdrop non réclamés d’une valeur de 5 millions de dollars. De son côté, KiloEx a aussi signalé une précédente exploitation au cours de laquelle un pirate a volé 7,5 millions de dollars en utilisant une vulnérabilité de son oracle de prix. Les deux équipes ont souligné que les fonds des utilisateurs demeurent sécurisés et que des efforts de récupération coordonnés sont en cours.
KiloEx et l’appel au pirate
Suite à cette attaque dévastatrice de 7,5 millions de dollars, l’échange décentralisé (DEX) KiloEx a lancé un appel public au pirate responsable, offrant une prime de 10 % comme geste de paix et dernière opportunité pour le retour des fonds volés. Sous la pression des utilisateurs et de ses partenaires, la plateforme a donné au responsable un ultimatum : revenir 90 % des fonds ou faire face à des actions en justice et à une exposition médiatique.
L’exploitation a eu lieu le 14 avril, lorsque des chercheurs en cybersécurité, dont l’organisation de sécurité PeckShield, ont identifié que le DEX avait été compromis via une vulnérabilité de l’oracle de prix. En d’autres termes, le contrat intelligent responsable de la détermination de la valeur des actifs numériques avait été manipulé, permettant à l’attaquant de falsifier les données de prix et de siphonner de précieuses ressources.
L’attaquant a récupéré environ 3,3 millions de dollars sur le réseau Base, 3,1 millions de dollars grâce à opBNB, et 1 million de dollars via la Binance Smart Chain, pour un total d’environ 7,5 millions de dollars en actifs numériques. Alors que la nouvelle circulait, KiloEx a rapidement suspendu ses opérations pour contenir la violation.
Réaction de KiloEx
KiloEx a annoncé un mouvement controversé mais de plus en plus courant dans l’espace DeFi : l’offre d’une prime blanche. L’attaquant a été offert 750 000 dollars — soit 10% des fonds totaux volés — en récompense pour le retour des 90% restants. KiloEx a présenté cet accord comme une occasion pour le pirate de « rectifier sa situation » et d’aider la communauté à se remettre de cet incident.
Le DEX a précisé qu’il était préparé à geler les fonds si un mouvement était détecté et qu’il continuerait de surveiller ces adresses à travers les différents réseaux. Le message de l’échange au pirate était clair : agir maintenant ou faire face à des conséquences graves.
Incident sur ZKsync
Dans un autre revers, ZKsync a confirmé le 15 avril qu’un hacker avait exploité un compte administrateur compromis pour minté 5 millions de dollars en tokens d’airdrop non réclamés. Bien que les fonds des utilisateurs n’aient pas été affectés, la violation a terni la campagne de distribution de jetons tant attendue de ZKsync et a entraîné des mesures de récupération rapides de la part du protocole et de ses partenaires.
L’attaque a d’abord été divulguée dans un communiqué sur le compte officiel X de ZKsync, où l’équipe a indiqué qu’un acteur non autorisé avait eu accès à un compte administratif disposant de contrôles privilégiés sur trois contrats de distribution d’airdrop.
Selon les dernières nouvelles, l’attaquant détient toujours la majorité des fonds volés. ZKsync a insisté sur le fait qu’il s’agissait d’un incident isolé et qu’aucun portefeuille utilisateur ou application décentralisée interagissant avec le réseau n’avait été touché.
Conséquences et mesures prises
Ces violations mettent en lumière la nécessité d’un audit rigoureux, d’une meilleure gestion des clés et de protections renforcées pour les comptes administrateurs à travers les protocoles DeFi. Alors que KiloEx et ZKsync travaillent à résoudre ces incidents, l’avenir de ces plateformes dépendra de la manière dont elles géreront la confiance des utilisateurs à la suite de ces attaques.
Avec plus de 59,22 millions de dollars en valeur totale verrouillée (TVL) sur la plateforme ZKsync Era, cet airdrop était considéré comme un moment clé pour l’intégration de nouveaux utilisateurs dans l’écosystème de mise à l’échelle d’Ethereum, soulignant l’importance de renforcer la sécurité dans le secteur DeFi.
