Restauration de Shibarium
L’équipe de développement de Shiba Inu a annoncé la restauration de Shibarium suite à l’un des défis les plus graves auxquels elle a été confrontée jusqu’à présent. Le réseau a été ciblé par une exploitation sophistiquée de pont, perturbant les opérations et menaçant les actifs des utilisateurs. Après un effort de récupération ininterrompu de dix jours, les développeurs ont rapporté que la sécurité avait été renforcée et que les actifs étaient désormais sécurisés. L’équipe a confirmé que des mesures préventives avaient été mises en place pour protéger l’écosystème contre de futures attaques.
Analyse de l’Exploitation
Selon le développeur principal, Kaal Dhairya, l’exploitation a été réalisée par le biais de trois faux points de contrôle soumis aux contrats Ethereum de Shibarium. Cette manipulation a interrompu Heimdall en rompant le lien entre son état local et son état sur la chaîne. De plus, l’attaquant a mis en jeu 4,6 millions de tokens BONE dans une tentative d’influencer les seuils de validation, créant un risque critique qui nécessitait une intervention immédiate.
Efforts de Récupération
En réponse, l’équipe centrale de Shiba Inu, en collaboration avec des partenaires externes, a travaillé sans relâche pendant plus de dix jours. Dhairya a expliqué que les développeurs ont travaillé tard dans la nuit et durant les week-ends pour restaurer la sécurité. La société de cybersécurité Hexens.io a été engagée en tant qu’expert indépendant pour tester et valider chaque correction. Des réunions quotidiennes, des synchronisations d’urgence et des examens continus des journaux ont été effectués pour garantir l’exactitude de toutes les étapes. Les responsabilités ont été réparties entre l’infrastructure, les opérations de validation, les réseaux de test et la surveillance. Cette structure a permis des progrès parallèles tout en maintenant une supervision stricte.
Mesures à Long Terme
Une fois le système stabilisé, plusieurs mesures à long terme ont été introduites. Plus de 100 contrats à travers Shibarium, ShibaSwap et le Metaverse de Shiba Inu ont été migrés vers des portefeuilles multi-signatures. Les clés de signature des validateurs ont été renouvelées, et une fonctionnalité de liste noire a été introduite pour les opérations de mise en jeu. Chaque mesure a d’abord été testée sur Devnet et Puppynet avant d’être déployée sur Mainnet. L’un des résultats les plus notables a été le sauvetage des 4,6 millions de tokens BONE liés à l’attaquant. Étant donné que les tokens étaient mis en jeu via un contrat, l’équipe a exécuté une récupération ciblée via le StakeManager. Cette correction a restauré l’intégrité du grand livre et a supprimé la délégation malveillante. Les délais de retrait ont également été prolongés d’un point de contrôle à environ 30 points de contrôle, offrant aux développeurs plus de temps pour détecter des activités suspectes.
Perspectives Futures
L’équipe de Shiba Inu a confirmé que le pointage sur Heimdall a été restauré en toute sécurité. Dhairya a déclaré que les réparations avaient été mises en œuvre par un processus par étapes, commençant sur Devnet, puis sur Puppynet, et enfin déployées sur Mainnet. Bien que les développeurs aient initialement envisagé de négocier avec l’attaquant, aucune réponse n’a été reçue, et des actifs volés ont été observés en cours de transfert. En conséquence, l’équipe a choisi de ne pas déployer de contrat de prime, citant des risques opérationnels.
En regardant vers l’avenir, les développeurs ont esquissé une feuille de route prudente pour restaurer la pleine fonctionnalité du pont. Un mécanisme de liste noire sera ajouté au Plasma Bridge pour empêcher les adresses malveillantes d’initier des transactions. Une fois ce système entièrement en place, les opérations de pont seront progressivement réintroduites. De plus, des plans sont en cours pour garantir une compensation équitable aux utilisateurs affectés par le biais de retraits phasés, de limites de transaction et de coordination avec des partenaires. Les délais ne seront divulgués que lorsqu’il sera sûr de le faire.
Au-delà de la récupération, l’équipe se concentre sur la résilience à long terme. Shibarium a établi un partenariat avec dRPC.org pour consolider les services RPC sous un seul point de terminaison, rpc.shibarium.shib.io, améliorant ainsi la fiabilité et l’accessibilité. Les développeurs mettent également à jour la documentation pour la configuration des nœuds et les opérations de validation afin d’encourager une participation plus large et de renforcer la sécurité à travers l’écosystème.
