Un pirate informatique a eu accès à une clé d'administrateur et a ainsi réussi à frapper 80 millions d'unités du stablecoin Resolv USR (USR)baisser son prix en dessous de 1 $ US. En conséquence, l'agresseur s'est retrouvé gagnant environ 25,3 millions de dollars grâce à cette action.
Sur les réseaux sociaux, les développeurs de Resolv ont déclaré être conscients du problème ce dimanche (22). Aller plus loin aussi envoyé un message au pirate informatiqueoffrant une récompense de 10 % s'il restitue les fonds volés.
En plus de Résoudre USR (USR) fonctionner en chute 76,2%la cryptomonnaie Solv (RESOLV) tombe 18% dans la semaine.
🟠Recevez des conseils Bitcoin des plus grands experts du marché.
Chainalysis explique comment un pirate informatique a profité des vulnérabilités pour gagner 25,3 millions de dollars
Dans une analyse publiée peu après l'incident, le Analyse en chaîneune célèbre société de sécurité dans le secteur de la cryptographie, a expliqué comment l'attaque a réussi à frapper des millions de jetons sans s'appuyer sur le protocole Resolv.
La première étape du pirate informatique a été accéder à une clé d'administration Resolvstockés dans un service de gestion de clés AWS. Cependant, l'attaquant n'a utilisé la clé que dans le système lui-même pour valider la création de jetons sans support équivalent, contournant ainsi le système de vérification hors chaîne.
Avec 100 à 200 mille dollars, le un pirate informatique a réussi à gagner 50 millions d'USR lors d'une première transaction et 30 millions d'unités supplémentaires à la deuxième tentative.
« Cela a été possible parce que les autorisations de frappe dépendaient d'un service hors chaîne qui utilisait une clé privée privilégiée pour approuver la quantité d'USR pouvant être créée », explique Chainalysis. « Malheureusement, le contrat intelligent lui-même n'imposait aucune limite maximale de tirage – il vérifiait seulement si une signature valide existait. »
Étant donné que ces montants dépassaient le support du stablecoin, la cryptomonnaie a perdu sa parité avec le dollar, passant de 1 $ US à 0,05 $ US.
Comme le stablecoin a perdu de la valeur lors de l'attaque, le pirate informatique n'a pas réussi à gagner 80 millions de dollars, mais plutôt 25,3 millions de dollars américains (132 millions de reais). Selon l'analyse, le montant a ensuite été converti en Ethereum (ETH).
Enfin, les experts en sécurité affirment que le vol aurait pu être évitéprincipalement en surveillant des événements anormaux, tels qu'un échange de 100 000 $ US contre 50 millions de $ US de jetons.
L'équipe Resolv reconnaît l'attaque et envoie un message au pirate informatique
Informant leurs investisseurs sur les réseaux sociaux, les développeurs de Resolv ont déclaré que leurs priorités étaient de contenir l'incident, d'évaluer l'impact et de garantir que les utilisateurs légitimes ne soient pas affectés.
« Le pool de garanties reste totalement intact. Aucun actif sous-jacent n'a été perdu »a expliqué Resolv, notant que « le problème semble être limité aux mécanismes d'émission de l'USR ».
Quoi qu’il en soit, la crypto-monnaie homonyme du projet a également été affectée. Au moment d'écrire ces lignes, le RÉSOUDRE fonctionne à une baisse de 18% par rapport au 16 mars.
Dans un autre ordre d'idées, l'équipe a recommandé aux investisseurs de ne pas échanger le stablecoin USR ou les jetons liés à Resolv pendant que des mesures de reprise sont planifiées.
Finalement, le dernier mouvement de Resolv fut envoyer un message au hacker. Le texte est une proposition de 90 % des fonds sont restitués, il obtient donc une récompense de 10 %.
« Bien que cet incident impliquait une vulnérabilité, l'exploitation a été réalisée avec une intention malveillante évidente, entraînant la création d'actifs non garantis et un impact possible sur le marché secondaire », a déclaré Resolv dans un message envoyé au pirate informatique.
Si le pirate informatique n'accepte pas les conditions, les développeurs ont promis d'engager des poursuites judiciaires pour récupérer les fonds, de contacter les autorités, de travailler avec des courtiers pour geler leurs actifs et de divulguer des informations le concernant.
