Search

PAID Network publie un exploit post-mortem



Le 7 mars, PAID Network a publié un article sur Medium avec un rapport sur son exploit du 5 mars.

Qu’est-il arrivé

Dans le rapport, le fondateur de PAID, Kyle Chassé, déclare que l’attaquant a utilisé une clé privée compromise pour tirer parti de la fonction de mise à niveau du contrat intelligent. «L’attaquant a ensuite procédé à la« mise à niveau »vers un nouveau contrat intelligent qui avait la capacité de graver et de re-frapper des jetons.»

L’attaquant a procédé à la frappe de 59 471 745 571 jetons PAYÉS, puis a commencé à les vendre. Plus de 2,5 millions de jetons PAYÉS ont été vendus sur Uniswap. Le pirate a gagné plus de 2 millions d’ETH avant que l’équipe ne remarque l’exploit et prenne des mesures.

L’équipe PAID a demandé aux détenteurs de jetons d’annuler leurs transactions. Des experts de l’industrie ont été appelés et l’autopsie a commencé.

Et après?

PAID relancera le jeton. Quant à la plateforme, l’équipe prévoit des mises à niveau. Celles-ci incluent des contrats multisignatures et des audits de sécurité et de processus améliorés.

La relance des jetons fonctionne à partir d’un instantané des avoirs de jetons à un moment juste avant le début de l’exploit. Ces jetons seront remplacés. Cependant, l’activité pendant l’exploit n’est pas couverte et l’annonce n’aborde pas ce qui arrivera à ceux qui ont acheté en pensant qu’ils obtenaient une bonne affaire.

Plaintes PAYÉES

Un problème avec l’exploit du réseau PAID est que la vulnérabilité utilisée par le pirate informatique était connue. Un tweet en janvier de #WARONRUGS soulignait en particulier l’absence de contrôle des contrats multisignatures.

Attaque de la semaine

La fréquence des attaques montre que la sophistication des hackers s’améliore plus rapidement que la défense des plates-formes. Le 27 février, Furucombo a subi un piratage qui lui a fait perdre 15 millions de dollars. CREAM Finance a été victime le 13 février, à hauteur de 37,5 millions de dollars.

En regardant en 2020, Akropolis avait un siphon de hacker sur 2 millions de dollars. Harvest Finance avait une valeur de 24 millions de dollars prise l’an dernier.

Parfois, les montants ne sont pas énormes, du moins pas pour ceux qui se font arnaquer. En janvier, SushiSwap a attiré une attention indésirable pour un hack qui a laissé une paire de trading spécifique sur sa plate-forme perdre 103000 $.

Les contrats intelligents DeFi et les DEX doivent encore sécuriser leurs opérations. La sophistication des hackers est réelle et toute faiblesse sera exploitée. Certains hacks sont vraiment des actes de génie malveillant, mais d’autres, comme l’événement PAID Network, ne sont que le résultat d’une sécurité laxiste.

Avertissement

Toutes les informations contenues sur notre site Web sont publiées de bonne foi et à des fins d’information générale uniquement. Toute action que le lecteur entreprend sur les informations présentes sur notre site Web est strictement à ses propres risques.

Auteur/autrice

Partager:

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Articles Similaires