Le 2 avril, l’institution de sécurité on-chain SlowMist a publié une analyse technique, révélant les conditions préalables clés à l’attaque dont Drift Protocol a été victime : environ une semaine avant l’incident, Drift a modifié le mécanisme de multisignature, sans mettre en place en parallèle une protection par verrouillage temporel. L’attaquant a ensuite obtenu des droits d’administrateur, a contrefait des jetons CVT, a manipulé l’oracle et a désactivé le module de sécurité, procédant de manière systématique à l’extraction d’actifs de grande valeur depuis le pool de fonds.
Reconstitution des signaux avant l’attaque : la modification de la multisignature sans verrouillage temporel est la faille centrale
(Source : SlowMist)
L’analyse de SlowMist révèle que le nœud préalable le plus inquiétant de cette attaque est le suivant : environ une semaine avant le piratage, Drift a modifié le mécanisme de multisignature en mode « 2/5 » sans mettre en place aucun verrouillage temporel, tout en introduisant 4 nouveaux signataires.
Le verrouillage temporel constitue une contrepartie de sécurité nécessaire dans la conception de sécurité du protocole pour la multisignature. Il fixe une période d’attente obligatoire (généralement de 24 à 48 heures ou plus) avant l’exécution de changements de configuration à haut risque, donnant ainsi à la communauté et aux organismes de sécurité le temps de détecter les anomalies et d’intervenir. L’absence de verrouillage temporel signifie qu’une fois que les clés privées des nouveaux signataires ont été volées ou contrôlées de manière malveillante, l’attaquant peut exécuter immédiatement des opérations de niveau administrateur, sans aucun délai de protection.
La modification de l’architecture multisignature survenue une semaine avant le piratage (avec l’introduction de 4 nouveaux signataires) est, en termes de calendrier, hautement suspecte et constitue le nœud d’alerte le plus suivi dans cette analyse de sécurité.
Reconstitution des étapes de l’attaque : de la fuite des droits d’administrateur à 105,969 ETH volés
D’après l’analyse technique de SlowMist, une fois l’attaquant parvenu à contrôler les droits d’administrateur, il a exécuté de façon systématique le vidage des actifs selon les étapes suivantes :
Contrefaçon de jetons CVT : contrefaire de faux jetons au sein du protocole, en contournant la logique normale de validation des actifs
Manipulation de l’oracle : modifier la source de prix externe du protocole, faussant ainsi le prix sur la chaîne et créant des conditions favorables à l’extraction ultérieure
Désactivation des mécanismes de sécurité : désactiver le module de gestion des risques et les restrictions de sécurité intégrés au protocole, éliminant les obstacles à l’extraction des actifs
Transfert d’actifs de grande valeur : extraire systématiquement des actifs très liquides du pool de fonds, menant à l’effacement final des actifs
À l’heure actuelle, les fonds volés ont principalement été regroupés vers des adresses Ethereum, pour un total d’environ 105,969 ETH (environ 226 millions de dollars), et SlowMist indique que les flux des fonds concernés continuent d’être suivis.
ZachXBT cite Circle : le non-blocage de USDC pendant plusieurs heures suscite de vives critiques dans l’industrie
Le détective on-chain ZachXBT a formulé de sévères critiques contre Circle le même jour. Il a indiqué que, pendant la session de trading américaine durant le piratage de Drift, des USDC d’un montant de plusieurs centaines de milliers de dollars ont traversé un protocole inter-chaînes depuis Solana vers Ethereum, le processus « durant plusieurs heures sans aucune intervention », des fonds ayant été intégralement transférés et Circle « n’ayant encore pris aucune mesure ».
ZachXBT a également révélé un autre problème antérieur de Circle : Circle avait gelé par erreur plus de 16 portefeuilles chauds opérationnels, et les procédures de dégel se poursuivent encore à ce jour. Il a pointé du doigt le PDG de Circle, Jeremy Allaire, affirmant que la performance de Circle a eu un impact négatif sur l’ensemble de l’industrie crypto.
Cette accusation a déclenché un large débat dans l’industrie sur le niveau de responsabilité proactive que les émetteurs de stablecoins devraient assumer dans les événements de sécurité.
Questions fréquentes
Pourquoi le fait de ne pas avoir mis en place de verrouillage temporel lors des modifications de la multisignature est-il le problème central de cette attaque ?
Le verrouillage temporel est une composante de sécurité clé du mécanisme de multisignature. Il définit une période d’attente obligatoire avant l’exécution d’opérations à privilèges élevés, afin de donner à la communauté et aux organismes de sécurité le temps de détecter des anomalies et d’agir. Lorsque Drift a ajusté l’architecture de multisignature, aucun verrouillage temporel n’a été configuré, ce qui signifie qu’en cas de fuite des preuves d’identité des signataires ajoutés, l’attaquant peut exécuter immédiatement des opérations d’administrateur, en contournant la dernière ligne de défense de la surveillance communautaire. Le moment auquel 4 nouveaux signataires ont été introduits une semaine avant le piratage est la question la plus scrutée dans l’enquête actuelle.
Quelle responsabilité Circle devrait-elle assumer dans cet événement ?
Les critiques de ZachXBT visent le fait que Circle n’ait pas assuré de surveillance et d’intervention immédiates pendant le transfert à grande échelle d’USDC via des ponts inter-chaînes. En tant qu’émetteur d’USDC, Circle dispose techniquement de la capacité de geler les adresses impliquées, mais n’a pris aucune mesure durant le transfert de fonds sur plusieurs heures. Cette controverse touche à la limite des responsabilités d’intervention proactive des émetteurs de stablecoins dans les événements de sécurité DeFi, qui constitue le sujet central très débattu dans l’industrie actuellement.
Quelle est la signification technique de la combinaison d’une contrefaçon de jetons CVT et d’une manipulation de l’oracle ?
La contrefaçon de jetons CVT permet à l’attaquant de fabriquer de faux actifs de liquidité ou des garanties au sein du protocole ; la manipulation de l’oracle fait en sorte que le protocole utilise des données de marché faussées lors de la tarification. Ensemble, elles permettent au protocole de « croire » qu’il existe un soutien suffisant en garanties, puis autorisent l’attaquant à extraire des actifs bien supérieurs à ce qui lui revient réellement. C’est une combinaison classique de techniques dans les attaques de contrats intelligents, qu’on retrouve dans de nombreux cas de piratage DeFi.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
L’échange sanctionné Grinex touché par un piratage de 13,7 M$ ; accuse des services de renseignement étrangers
Grinex, une bourse de crypto-rouble sanctionnée, a interrompu ses activités à la suite d'une cyberattaque qui a dérobé plus de 13,74 millions de dollars en USDT. On pense que l’attaque implique des acteurs relevant de l’État, visant à déstabiliser le système financier de la Russie. Grinex collabore avec les forces de l’ordre, mais n’a pas de calendrier pour la reprise des services.
CoinpediaIl y a 7h
Figure fait face à des accusations de vendeur à découvert concernant ses affirmations d’intégration blockchain ; le titre FIGR en baisse de 53 % depuis le pic de janvier
Figure Technology Solutions a fait face à des accusations de Morpheus Research concernant une exagération de son utilisation de la technologie blockchain, entraînant une baisse significative du cours des actions. Figure a défendu ses opérations, en mettant en avant ses fonctionnalités liées aux actifs numériques et des indicateurs de performance solides.
GateNewsIl y a 14h
Le fraudeur crypto de Houston condamné à 23 ans pour une arnaque à $20M Meta-1 Coin
Robert Dunlap, un entrepreneur de Houston, a été condamné à 23 ans de prison pour une fraude en $20 millions de cryptomonnaies à Houston, impliquant de faux actifs et des pratiques trompeuses, touchant plus de 1 000 victimes. Son affaire reflète une hausse plus large des cybercrimes liés aux cryptomonnaies.
GateNewsIl y a 19h
SlowMist alerte sur une attaque de phishing active utilisant un faux logiciel « Harmony Voice »
L’équipe de sécurité de SlowMist a averti d’une campagne d’ingénierie sociale visant les utilisateurs de crypto-monnaies. Des fraudeurs se font passer pour des partenaires de projet afin de tromper les utilisateurs en leur faisant télécharger une application malveillante déguisée en outil de traduction. Il est conseillé aux utilisateurs de vérifier l’authenticité des logiciels.
GateNewsIl y a 19h
Le PDG de l’échange Zonda accuse le fondateur disparu d’avoir perdu $336M en Bitcoin
Le PDG de Zonda, Przemysław Kral, a attribué la perte d’accès à 4 500 BTC de la bourse, d’une valeur de $336 millions, à l’incapacité du fondateur disparu Sylwester Suszek à transférer les clés privées. Au milieu d’allégations de faillite et de demandes de retraits intensifiées, Kral affirme que Zonda reste solvable et qu’il engagera des poursuites judiciaires tout en cherchant Suszek, qui a disparu en 2022.
GateNewsIl y a 20h
La bourse Grinex interrompt tous les échanges après une cyberattaque de $15M sur les systèmes de portefeuilles
Grinex, une bourse de crypto kirghize, a suspendu les échanges après une cyberattaque ayant entraîné des pertes d’environ $15 millions. La nature avancée de l’attaque suggère une implication organisée ou relevant d’un niveau étatique. Grinex a signalé l’incident aux autorités et évalue les dégâts.
GateNewsIl y a 20h
