Incident de Vol chez TrustedVolumes
Un hacker a commencé à blanchir des actifs numériques issus du vol de 6,7 millions de dollars auprès du fournisseur de liquidité TrustedVolumes, selon la société de cybersécurité PeckShield. Cette dernière indique que de nouvelles données montrent que le hacker a commencé à déplacer des centaines de milliers de dollars en Ethereum (ETH).
« L’exploitant de TrustedVolumes a blanchi 278 000 $ de fonds volés jusqu’à présent : il a déposé 10,2 ETH (23 600 $) sur TornadoCash et blanchi 110 ETH (250 000 $) via THORChain vers BTC. Il a également tenté de déposer 0,5 ETH sur Railgun, mais a changé d’avis et l’a renvoyé. TrustedVolumes a été exploité pour environ 6,7 millions de dollars le 7 mai. »
TrustedVolumes déclare qu’il est prêt à négocier une résolution avec le hacker. La société liste également trois adresses de portefeuille, dont deux détiennent environ 3 millions de dollars et une 700 000 $ en actifs cryptographiques volés.
« Nous avons récemment été exploités… Nous sommes ouverts à une communication constructive concernant une prime de bug et une résolution mutuellement acceptable. »
Analyse de l’Exploitation
La société de sécurité blockchain QuillAudits indique que le hacker a pu siphonner des millions en une seule transaction en exploitant un défaut de conception dans le système de règlement de commandes personnalisé de la plateforme.
« TrustedVolumes fonctionne comme un market maker et un résolveur 1inch, fournissant de la liquidité on-chain via un proxy de Demande de Cotation (RFQ) personnalisé. Dans un modèle RFQ, un maker pré-signe des ordres, en citant un prix spécifique pour une paire de tokens. Un taker présente cette citation signée au contrat de règlement, qui vérifie la signature et exécute l’échange de manière atomique. Le système repose sur trois garanties fonctionnant en concert : le maker doit avoir autorisé qui peut signer des ordres en son nom, chaque ordre signé doit être rempli une seule fois (protection contre la répétition), et la source de token pour le remplissage doit être l’inventaire authentifié du maker, et non une adresse tierce arbitraire. Dans l’implémentation de TrustedVolumes, les trois garanties ont échoué simultanément, et l’attaquant en a profité dans une seule transaction composée. »
