InfStones a expliqué avoir mené un examen interne n’ayant révélé aucune autre menace. Le fournisseur d’infrastructure blockchain a également invité une société de sécurité externe à auditer ses systèmes et les politiques de l’entreprise.
Le fournisseur d’infrastructure blockchain InfStones a annoncé avoir réussi à corriger les vulnérabilités identifiées dans son système par la société de sécurité dWallet Labs.
dWallet Labs aurait trouvé des susceptibilités chez les validateurs d’InfStones. Selon dWallet Labs, il a détecté les menaces lors de la préparation d’un document de recherche sur l’attaque des réseaux blockchain et la collecte de clés privées avec les attaques Web2.
« Une chaîne de vulnérabilités que nous avons découvertes et exploitées au cours de nos recherches nous a permis d’obtenir un contrôle total, d’exécuter du code et d’extraire les clés privées de centaines de validateurs sur plusieurs réseaux majeurs », note-t-il.
Si les vulnérabilités étaient exploitées, dWallet a affirmé que l’attaquant aurait obtenu l’accès et le contrôle des clés privées des validateurs de plusieurs réseaux blockchain. dWallet a noté que des actifs cryptographiques – d’une valeur d’environ un milliard de dollars – auraient pu être perdus à cause de ce processus.
InfStones reconnaît les vulnérabilités et l’ampleur des différends
Tout en reconnaissant la menace, InfStones a contesté les chiffres avancés. Le fournisseur d’infrastructure blockchain a déclaré que les vulnérabilités n’affectaient qu’une fraction de ses nœuds actifs lancés.
Dans une déclaration publiée sur le blog de l’entreprise, InfStones a indiqué avoir découvert des menaces potentielles dans 237 cas. Parmi ceux-ci, 212 étaient des nœuds utilisés à des fins de test, tandis que 25 instances affectaient des nœuds fraîchement lancés.
En outre, la société a décrit les mesures qu’elle a prises pour corriger immédiatement les vulnérabilités. En plus de supprimer le port concerné et d’autres ports similaires, InfStones a effectué une rotation de toutes les informations d’identification et clés au sein de la plate-forme. Par la suite, InfStones a expliqué avoir mené un examen interne n’ayant révélé aucune autre menace. Le fournisseur d’infrastructure blockchain a également invité une société de sécurité externe à auditer ses systèmes et les politiques de l’entreprise.
Enfin, InfStones a rappelé à ses clients que la plateforme n’est pas dépositaire, limitant ainsi l’exposition des clients en cas de vulnérabilités de la plateforme.
Protection contre les futurs exploits
La menace identifiée représente l’un des moyens par lesquels les acteurs malveillants ont tenté de voler les sociétés de blockchain et d’actifs numériques.
Selon CertiK, les acteurs malveillants ciblant l’espace cryptographique ont volé plus de 1,34 milliard de dollars depuis le début de l’année (YTD). Plus de 596 millions de dollars provenaient d’exploits. Le reste comprenait des attaques de prêt flash, des attaques par force brute, des escroqueries à la sortie et autres.
Invariablement, l’augmentation des exploits cryptographiques suggère la nécessité pour les plateformes blockchain de déployer davantage de ressources pour assurer leur sécurité. Il n’est donc pas surprenant qu’InfStones ait pris de nouvelles mesures après son examen interne et son audit externe.
L’entreprise a ensuite obtenu l’attestation SOC 2 Type I, confirmant la conformité de l’entreprise aux normes de l’AICPA. Il a également lancé un programme Bug Bounty, encourageant les tiers à aider à identifier et à corriger toutes les failles de sécurité.
suivant
Voir l’article original en anglais
