Deux plateformes de finance d\u00e9centralis\u00e9e, ZKsync<\/strong> et KiloEx<\/strong>, ont subi d’importantes violations de s\u00e9curit\u00e9 cette semaine, entra\u00eenant des pertes de plus de 12 millions de dollars<\/strong>. ZKsync a r\u00e9v\u00e9l\u00e9 le 15 avril qu’un compte administrateur compromis avait mint\u00e9 des tokens d’airdrop non r\u00e9clam\u00e9s d’une valeur de 5 millions de dollars<\/strong>. De son c\u00f4t\u00e9, KiloEx a aussi signal\u00e9 une pr\u00e9c\u00e9dente exploitation au cours de laquelle un pirate a vol\u00e9 7,5 millions de dollars<\/strong> en utilisant une vuln\u00e9rabilit\u00e9 de son oracle de prix. Les deux \u00e9quipes ont soulign\u00e9 que les fonds des utilisateurs demeurent s\u00e9curis\u00e9s et que des efforts de r\u00e9cup\u00e9ration coordonn\u00e9s sont en cours.<\/p>\n Suite \u00e0 cette attaque d\u00e9vastatrice de 7,5 millions de dollars, l’\u00e9change d\u00e9centralis\u00e9 (DEX) KiloEx a lanc\u00e9 un appel public au pirate responsable, offrant une prime de 10 %<\/strong> comme geste de paix et derni\u00e8re opportunit\u00e9 pour le retour des fonds vol\u00e9s. Sous la pression des utilisateurs et de ses partenaires, la plateforme a donn\u00e9 au responsable un ultimatum : revenir 90 % des fonds<\/strong> ou faire face \u00e0 des actions en justice et \u00e0 une exposition m\u00e9diatique.<\/p>\n L’exploitation a eu lieu le 14 avril, lorsque des chercheurs en cybers\u00e9curit\u00e9, dont l’organisation de s\u00e9curit\u00e9 PeckShield<\/strong>, ont identifi\u00e9 que le DEX avait \u00e9t\u00e9 compromis via une vuln\u00e9rabilit\u00e9 de l’oracle de prix. En d’autres termes, le contrat intelligent responsable de la d\u00e9termination de la valeur des actifs num\u00e9riques avait \u00e9t\u00e9 manipul\u00e9, permettant \u00e0 l’attaquant de falsifier les donn\u00e9es de prix et de siphonner de pr\u00e9cieuses ressources.<\/p>\n<\/blockquote>\n L’attaquant a r\u00e9cup\u00e9r\u00e9 environ 3,3 millions de dollars<\/strong> sur le r\u00e9seau Base, 3,1 millions de dollars<\/strong> gr\u00e2ce \u00e0 opBNB, et 1 million de dollars<\/strong> via la Binance Smart Chain, pour un total d’environ 7,5 millions de dollars<\/strong> en actifs num\u00e9riques. Alors que la nouvelle circulait, KiloEx a rapidement suspendu ses op\u00e9rations pour contenir la violation.<\/p>\n KiloEx a annonc\u00e9 un mouvement controvers\u00e9 mais de plus en plus courant dans l’espace DeFi : l’offre d’une prime blanche. L’attaquant a \u00e9t\u00e9 offert 750 000 dollars<\/strong> \u2014 soit 10% des fonds totaux vol\u00e9s \u2014 en r\u00e9compense pour le retour des 90% restants. KiloEx a pr\u00e9sent\u00e9 cet accord comme une occasion pour le pirate de \u00ab rectifier sa situation \u00bb<\/em> et d’aider la communaut\u00e9 \u00e0 se remettre de cet incident.<\/p>\n Le DEX a pr\u00e9cis\u00e9 qu’il \u00e9tait pr\u00e9par\u00e9 \u00e0 geler les fonds si un mouvement \u00e9tait d\u00e9tect\u00e9 et qu’il continuerait de surveiller ces adresses \u00e0 travers les diff\u00e9rents r\u00e9seaux. Le message de l’\u00e9change au pirate \u00e9tait clair : agir maintenant ou faire face \u00e0 des cons\u00e9quences graves<\/strong>.<\/p>\n Dans un autre revers, ZKsync<\/strong> a confirm\u00e9 le 15 avril qu’un hacker avait exploit\u00e9 un compte administrateur compromis pour mint\u00e9 5 millions de dollars<\/strong> en tokens d’airdrop non r\u00e9clam\u00e9s. Bien que les fonds des utilisateurs n’aient pas \u00e9t\u00e9 affect\u00e9s, la violation a terni la campagne de distribution de jetons tant attendue de ZKsync et a entra\u00een\u00e9 des mesures de r\u00e9cup\u00e9ration rapides de la part du protocole et de ses partenaires.<\/p>\n L’attaque a d’abord \u00e9t\u00e9 divulgu\u00e9e dans un communiqu\u00e9 sur le compte officiel X de ZKsync, o\u00f9 l’\u00e9quipe a indiqu\u00e9 qu’un acteur non autoris\u00e9 avait eu acc\u00e8s \u00e0 un compte administratif disposant de contr\u00f4les privil\u00e9gi\u00e9s sur trois contrats de distribution d’airdrop.<\/p>\n<\/blockquote>\n Selon les derni\u00e8res nouvelles, l’attaquant d\u00e9tient toujours la majorit\u00e9 des fonds vol\u00e9s. ZKsync a insist\u00e9 sur le fait qu’il s’agissait d’un incident isol\u00e9 et qu’aucun portefeuille utilisateur ou application d\u00e9centralis\u00e9e interagissant avec le r\u00e9seau n’avait \u00e9t\u00e9 touch\u00e9.<\/p>\n Ces violations mettent en lumi\u00e8re la n\u00e9cessit\u00e9 d’un audit rigoureux, d’une meilleure gestion des cl\u00e9s et de protections renforc\u00e9es pour les comptes administrateurs \u00e0 travers les protocoles DeFi. Alors que KiloEx et ZKsync travaillent \u00e0 r\u00e9soudre ces incidents, l’avenir de ces plateformes d\u00e9pendra de la mani\u00e8re dont elles g\u00e9reront la confiance des utilisateurs \u00e0 la suite de ces attaques.<\/p>\n Avec plus de 59,22 millions de dollars<\/strong> en valeur totale verrouill\u00e9e (TVL) sur la plateforme ZKsync Era, cet airdrop \u00e9tait consid\u00e9r\u00e9 comme un moment cl\u00e9 pour l’int\u00e9gration de nouveaux utilisateurs dans l’\u00e9cosyst\u00e8me de mise \u00e0 l’\u00e9chelle d’Ethereum, soulignant l’importance de renforcer la s\u00e9curit\u00e9 dans le secteur DeFi.<\/p>\n","protected":false},"excerpt":{"rendered":" Violations de s\u00e9curit\u00e9 dans la finance d\u00e9centralis\u00e9e Deux plateformes de finance d\u00e9centralis\u00e9e, ZKsync et KiloEx, ont subi d’importantes violations de s\u00e9curit\u00e9 cette semaine, entra\u00eenant des pertes de plus de 12 millions de dollars. ZKsync a r\u00e9v\u00e9l\u00e9 le 15 avril qu’un compte administrateur compromis avait mint\u00e9 des tokens d’airdrop non r\u00e9clam\u00e9s d’une valeur de 5 millions de dollars. De son c\u00f4t\u00e9, KiloEx a aussi signal\u00e9 une pr\u00e9c\u00e9dente exploitation au cours de laquelle un pirate a vol\u00e9 7,5 millions de dollars en utilisant une vuln\u00e9rabilit\u00e9 de son oracle de prix. Les deux \u00e9quipes ont soulign\u00e9 que les fonds des utilisateurs demeurent s\u00e9curis\u00e9s<\/p>\n","protected":false},"author":3,"featured_media":3261,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2291,64],"tags":[788,344,2293,13,65,2561,2017,1525,790],"class_list":["post-3262","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-digestfromanalyser","category-hack","tag-base","tag-bnb-chain","tag-digestfromanalyser","tag-ethereum","tag-hack","tag-kiloex","tag-morpho-labs","tag-peckshield","tag-zksync"],"yoast_description":"KiloEx offre une prime de 10 % pour le retour de 7,5 millions de dollars vol\u00e9s lors d'une violation de s\u00e9curit\u00e9, tandis que ZKsync enqu\u00eate sur l'exploitation d'un compte administrateur de 5 millions de dollars.","_links":{"self":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/3262","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/comments?post=3262"}],"version-history":[{"count":0,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/posts\/3262\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media\/3261"}],"wp:attachment":[{"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/media?parent=3262"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/categories?post=3262"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/satoshibrother.com\/fr\/wp-json\/wp\/v2\/tags?post=3262"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}KiloEx et l’appel au pirate<\/h2>\n
\n
R\u00e9action de KiloEx<\/h2>\n
Incident sur ZKsync<\/h2>\n
\n
Cons\u00e9quences et mesures prises<\/h2>\n