Une exploitation qui a conduit \u00e0 la cr\u00e9ation de 1 milliard de tokens Polkadot (DOT) envelopp\u00e9s<\/strong> plus t\u00f4t cette semaine s’av\u00e8re bien plus grave que ce qui avait \u00e9t\u00e9 initialement rapport\u00e9, selon l’\u00e9quipe derri\u00e8re Hyperbridge. Ce qui \u00e9tait d’abord estim\u00e9 \u00e0 237 000 $<\/strong> de pertes li\u00e9es au pont Polkadot-Ethereum s’\u00e9l\u00e8ve en r\u00e9alit\u00e9 \u00e0 environ 2,5 millions de dollars<\/strong>, soit une augmentation de plus de dix fois par rapport au rapport initial.<\/p>\n \u00ab\u00a0Un attaquant a exploit\u00e9 une vuln\u00e9rabilit\u00e9 dans la logique de v\u00e9rification de la preuve de Merkle Mountain Range (MMR), permettant au coupable de cr\u00e9er des actifs et de vider les fonds en s\u00e9questre sur Token Gateway,\u00a0\u00bb a d\u00e9clar\u00e9 l’\u00e9quipe dans un postmortem publi\u00e9 jeudi.<\/p>\n \u00ab\u00a0Notre premi\u00e8re estimation publique de la perte \u00e9tait d’environ 237 000 $, bas\u00e9e sur la vente imm\u00e9diate observable de DOT bridg\u00e9 sur Ethereum,\u00a0\u00bb ont-ils ajout\u00e9. \u00ab\u00a0Ce chiffre ne refl\u00e9tait pas l’ensemble de la situation, comme nous l’avons appris par la suite.\u00a0\u00bb<\/p>\n<\/blockquote>\n En plus des 237 000 $<\/strong> de pertes observables, un contrat intelligent a \u00e9t\u00e9 exploit\u00e9 pour 245 ETH<\/strong>, soit environ 561 000 $<\/strong>, quelques heures avant les mintings malveillants de tokens DOT. De plus, trois blockchains connect\u00e9es\u2014Base<\/strong>, Arbitrum<\/strong> et BNB Chain<\/strong>\u2014ont \u00e9galement \u00e9t\u00e9 impact\u00e9es, contredisant le rapport initial de l’\u00e9quipe selon lequel seul le DOT envelopp\u00e9 sur Ethereum \u00e9tait affect\u00e9.<\/p>\n \u00ab\u00a0Suite \u00e0 la r\u00e9conciliation de l’activit\u00e9 de l’attaquant sur chacune des quatre cha\u00eenes, \u00e0 la nature en deux phases de l’attaque, et aux pertes des pools d’incitation associ\u00e9s, la perte totale r\u00e9vis\u00e9e est d’environ 2,5 millions de dollars, d\u00e9nomm\u00e9e en ETH et DOT au moment de l’exploitation,\u00a0\u00bb a-t-il \u00e9t\u00e9 pr\u00e9cis\u00e9.<\/p>\n<\/blockquote>\n Les fonds vol\u00e9s ont \u00e9t\u00e9 retrac\u00e9s jusqu’\u00e0 une adresse de d\u00e9p\u00f4t sur Binance<\/strong>, et la soci\u00e9t\u00e9 a engag\u00e9 l’\u00e9quipe de conformit\u00e9 de l’\u00e9change centralis\u00e9 ainsi que les forces de l’ordre concern\u00e9es dans une tentative de geler et de r\u00e9cup\u00e9rer les actifs vol\u00e9s\u2014mais elle ne s’attend pas \u00e0 une r\u00e9solution rapide. \u00ab\u00a0Nous explorons tous les canaux disponibles, mais le d\u00e9lai r\u00e9aliste pour une r\u00e9cup\u00e9ration significative dans un cas de ce type se mesure en mois, et peut s’\u00e9tendre jusqu’\u00e0 un an,\u00a0\u00bb<\/strong> a-t-elle ajout\u00e9.<\/p>\n Bien que son objectif soit de rendre tous les utilisateurs affect\u00e9s entiers en remboursant les fonds compromis, le protocole a indiqu\u00e9 qu’il est \u00ab\u00a0engag\u00e9 dans une allocation structur\u00e9e de tokens BRIDGE pour couvrir la perte r\u00e9siduelle,\u00a0\u00bb<\/strong> s’il ne peut pas le faire. Cependant, le BRIDGE<\/strong>, son token natif de protocole, maintient des volumes extr\u00eamement bas, ayant \u00e9t\u00e9 \u00e9chang\u00e9 pour 1 800 $<\/strong> au cours des 24 derni\u00e8res heures, lorsqu’il a chang\u00e9 de mains pour environ 0,006 $<\/strong> le 29 mars, selon les donn\u00e9es de CoinGecko. \u00c0 ce prix, le token avait une capitalisation boursi\u00e8re d’environ 858 000 $<\/strong>, soit environ un tiers des pertes totales de l’exploitation.<\/p>\n La fonctionnalit\u00e9 de pont sur les quatre blockchains affect\u00e9es reste suspendue et ne reprendra qu’apr\u00e8s qu’un correctif ait \u00e9t\u00e9 d\u00e9ploy\u00e9 et audit\u00e9. \u00ab\u00a0Cela ne change pas notre conviction que l’interop\u00e9rabilit\u00e9 entre cha\u00eenes n’est s\u00e9curis\u00e9e que par des preuves cryptographiques,\u00a0\u00bb<\/strong> a \u00e9crit l’\u00e9quipe du protocole. \u00ab\u00a0Ce que cette exploitation a clairement r\u00e9v\u00e9l\u00e9, de mani\u00e8re co\u00fbteuse, c’est que la logique de v\u00e9rification n\u00e9cessite des audits plus fr\u00e9quents et des tests adversariaux \u00e0 chaque couche de la pile,\u00a0\u00bb<\/strong> a-t-elle ajout\u00e9. \u00ab\u00a0C’est la norme sous laquelle Token Gateway fonctionnera \u00e0 l’avenir.\u00a0\u00bb<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":" Exploitation de Polkadot : Une perte bien plus importante que pr\u00e9vue Une exploitation qui a conduit \u00e0 la cr\u00e9ation de 1 milliard de tokens Polkadot (DOT) envelopp\u00e9s plus t\u00f4t cette semaine s’av\u00e8re bien plus grave que ce qui avait \u00e9t\u00e9 initialement rapport\u00e9, selon l’\u00e9quipe derri\u00e8re Hyperbridge. Ce qui \u00e9tait d’abord estim\u00e9 \u00e0 237 000 $ de pertes li\u00e9es au pont Polkadot-Ethereum s’\u00e9l\u00e8ve en r\u00e9alit\u00e9 \u00e0 environ 2,5 millions de dollars, soit une augmentation de plus de dix fois par rapport au rapport initial. \u00ab\u00a0Un attaquant a exploit\u00e9 une vuln\u00e9rabilit\u00e9 dans la logique de v\u00e9rification de la preuve de Merkle Mountain<\/p>\n","protected":false},"author":3,"featured_media":14649,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[64],"tags":[428,788,54,344,6651,58,13,65,1384],"class_list":["post-14650","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-arbitrum","tag-base","tag-binance","tag-bnb-chain","tag-bridge","tag-coingecko","tag-ethereum","tag-hack","tag-polkadot"],"yoast_description":"Le piratage du pont Polkadot-Ethereum a entra\u00een\u00e9 des pertes de 2,5 millions de dollars, bien plus \u00e9lev\u00e9es que les 237 000 $ initialement rapport\u00e9s, r\u00e9v\u00e9lant de graves failles de s\u00e9curit\u00e9.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/14650","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/comments?post=14650"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/14650\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media\/14649"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media?parent=14650"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/categories?post=14650"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/tags?post=14650"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
\n