Exploitation de Polkadot : Une perte bien plus importante que prévue
Une exploitation qui a conduit à la création de 1 milliard de tokens Polkadot (DOT) enveloppés plus tôt cette semaine s’avère bien plus grave que ce qui avait été initialement rapporté, selon l’équipe derrière Hyperbridge. Ce qui était d’abord estimé à 237 000 $ de pertes liées au pont Polkadot-Ethereum s’élève en réalité à environ 2,5 millions de dollars, soit une augmentation de plus de dix fois par rapport au rapport initial.
« Un attaquant a exploité une vulnérabilité dans la logique de vérification de la preuve de Merkle Mountain Range (MMR), permettant au coupable de créer des actifs et de vider les fonds en séquestre sur Token Gateway, » a déclaré l’équipe dans un postmortem publié jeudi.
« Notre première estimation publique de la perte était d’environ 237 000 $, basée sur la vente immédiate observable de DOT bridgé sur Ethereum, » ont-ils ajouté. « Ce chiffre ne reflétait pas l’ensemble de la situation, comme nous l’avons appris par la suite. »
En plus des 237 000 $ de pertes observables, un contrat intelligent a été exploité pour 245 ETH, soit environ 561 000 $, quelques heures avant les mintings malveillants de tokens DOT. De plus, trois blockchains connectées—Base, Arbitrum et BNB Chain—ont également été impactées, contredisant le rapport initial de l’équipe selon lequel seul le DOT enveloppé sur Ethereum était affecté.
« Suite à la réconciliation de l’activité de l’attaquant sur chacune des quatre chaînes, à la nature en deux phases de l’attaque, et aux pertes des pools d’incitation associés, la perte totale révisée est d’environ 2,5 millions de dollars, dénommée en ETH et DOT au moment de l’exploitation, » a-t-il été précisé.
Les fonds volés ont été retracés jusqu’à une adresse de dépôt sur Binance, et la société a engagé l’équipe de conformité de l’échange centralisé ainsi que les forces de l’ordre concernées dans une tentative de geler et de récupérer les actifs volés—mais elle ne s’attend pas à une résolution rapide. « Nous explorons tous les canaux disponibles, mais le délai réaliste pour une récupération significative dans un cas de ce type se mesure en mois, et peut s’étendre jusqu’à un an, » a-t-elle ajouté.
Bien que son objectif soit de rendre tous les utilisateurs affectés entiers en remboursant les fonds compromis, le protocole a indiqué qu’il est « engagé dans une allocation structurée de tokens BRIDGE pour couvrir la perte résiduelle, » s’il ne peut pas le faire. Cependant, le BRIDGE, son token natif de protocole, maintient des volumes extrêmement bas, ayant été échangé pour 1 800 $ au cours des 24 dernières heures, lorsqu’il a changé de mains pour environ 0,006 $ le 29 mars, selon les données de CoinGecko. À ce prix, le token avait une capitalisation boursière d’environ 858 000 $, soit environ un tiers des pertes totales de l’exploitation.
La fonctionnalité de pont sur les quatre blockchains affectées reste suspendue et ne reprendra qu’après qu’un correctif ait été déployé et audité. « Cela ne change pas notre conviction que l’interopérabilité entre chaînes n’est sécurisée que par des preuves cryptographiques, » a écrit l’équipe du protocole. « Ce que cette exploitation a clairement révélé, de manière coûteuse, c’est que la logique de vérification nécessite des audits plus fréquents et des tests adversariaux à chaque couche de la pile, » a-t-elle ajouté. « C’est la norme sous laquelle Token Gateway fonctionnera à l’avenir. »
