Rapport Post-Mortem sur l’Exploitation de la Blockchain Flow
Un rapport post-mortem sur l’exploitation survenue le 27 décembre sur la blockchain Flow a mis en lumière une vulnérabilité au niveau du protocole, permettant à un attaquant de dupliquer des tokens fongibles et de siphonner environ 3,9 millions de dollars. « L’attaque a révélé une sophistication technique significative. L’assaillant a déployé plus de 40 contrats intelligents malveillants dans une séquence coordonnée, » a déclaré le rapport publié par la Flow Foundation.
Détails de l’Attaque
Les attaquants ont réussi à exploiter une faille majeure dans la couche d’exécution Cadence (v1.8.8), leur permettant de déguiser un actif protégé, qui ne devrait pas être copiable, en une structure de données standard pouvant être copiée. En d’autres termes, l’attaquant a pu dupliquer des tokens au lieu de les frapper, ce qui explique également pourquoi les soldes des utilisateurs existants n’ont pas été directement affectés.
« 1,094 milliard de FLOW contrefaits a été déposé par l’attaquant sur plusieurs échanges centralisés. Parmi ceux-ci, 484 434 923 FLOW ont déjà été retournés par les partenaires d’échange coopératifs OKX, Gate.io et MEXC, et ont été détruits, » a ajouté le rapport.
Réponse et Mesures Prises
Cependant, les validateurs de Flow ont pu initier un arrêt du réseau dans les six heures suivant la première transaction malveillante, et les fonds déjà envoyés à des échanges centralisés ont été gelés par les partenaires d’échange. Pendant ce temps, Flow a pris des mesures pour isoler 98,7 % de l’offre contrefaite restante, qui est maintenant en attente de destruction.
Alors que la Fondation continue de travailler avec d’autres partenaires d’échange pour récupérer les actifs restants, elle a activé un filet de sécurité au niveau du protocole en restreignant toutes les adresses de dépôt liées à l’attaquant. Cela a été fait pour empêcher que les tokens contrefaits ne puissent être retirés, transférés ou bridgés jusqu’à leur retour pour destruction.
État Actuel du Réseau Flow
Selon la fondation, la vulnérabilité a été corrigée et le réseau Flow est désormais pleinement opérationnel. Les développeurs ont opté pour un plan de « récupération isolée » au lieu d’un rollback complet de la chaîne, comme ils l’avaient initialement envisagé. Comme précédemment rapporté par crypto.news, cette décision a été prise pour préserver l’historique des transactions légitimes et permettre la destruction des actifs contrefaits par un processus approuvé par la gouvernance.
Impact sur le Token FLOW
Le token natif de la blockchain, FLOW, a réussi à rebondir depuis la mise en œuvre du plan de récupération et la publication de l’analyse post-mortem par la Fondation. Après avoir chuté d’environ 40 % en cinq heures suite au piratage du 27 décembre, FLOW a continué de glisser jusqu’à atteindre un creux de 0,075 $ le 2 janvier, avant de commencer à se redresser alors que le réseau redevenait opérationnel. Au cours des dernières 24 heures, le token a grimpé de plus de 14 % et se négociait à 0,1015 $ au moment de la rédaction.
