La faille de sécurité du coffre-fort de liquidités Clober a été exploitée pour un montant de 133 ETH. L'équipe offre une prime aux hackers éthiques

Clober, une plateforme décentralisée sur Base, a été victime d'une fraude ayant entraîné le vol de 133 ETH. L'équipe a proposé au hacker éthique une commission de 20 % pour qu'il puisse récupérer les fonds. 

L'un des coffres-forts de liquidités de Clober, une plateforme d'échange décentralisée (DEX) sur la blockchain Base, a récemment été victime d'une faille de sécurité. Le pirate a réussi à retirer 133 ETH encapsulés en une seule transaction. 

🚨 URGENT : Alerte faille de sécurité 🚨

Nous avons le regret d'informer notre communauté que le coffre-fort de liquidités Clober a été compromis suite à une faille de sécurité.

Nous tenons à rassurer nos utilisateurs : le protocole Clober lui-même n’est pas affecté et toutes les fonctionnalités essentielles continuent de fonctionner…

— Clober | CLOB DEX 100 % on-chain (@CloberDEX) 10 décembre 2024

Après l'exploitation de cette faille, les fonds ont été réinjectés dans la chaîne principale Ethereum , qui offre de nombreuses possibilités de mixage ou d'échange.

Le protocole affirmait qu'aucune autre fonctionnalité du protocole n'était inchangée et n'exigeait aucune démarche supplémentaire de la part des utilisateurs.  

Base est l'une des blockchains les plus sûres, avec peu d'exploits signalés. Cependant, la croissance de son secteur DeFi a entraîné une augmentation de la fréquence des tentatives de vol de fonds. Comme pour d'autres attaques, les escrocs peuvent publier des liens d'hameçonnage pour vider les portefeuilles.

Outre Base, Clober a développé une version Arbitrum, qui reste indemne suite au piratage. Clober Core et le réseau de test Mitosis sont également sécurisés et ne seront ni gelés ni arrêtés. 

augmente actuellement valeur bloquée, selon les données de Messari. Ce coffre-fort contient un peu plus de 17 000 $. 

Malgré la demande de rémunération pour une action éthique, le pirate a conservé les fonds. L'équipe l'a contacté directement via la blockchain Ethereum afin de résoudre le problème. 

Le projet travaille avec Match Systems sur une solution potentielle de type « white hat », où le pirate informatique reçoit une commission mais restitue la majeure partie des liquidités.

Un pirate informatique a utilisé une faille de la fonction de brûlage pour voler des fonds

Pour mener à bien l'opération, le pirate de Clober a déposé seulement 2,87 ETH depuis Binance. Après avoir retiré les fonds, il a utilisé le pont du protocole Across pour se retrouver sur deux adresses Ethereum . 

Les deux adresses (1 et 2) ont été créées spécifiquement pour la transaction de pont afin de sortir les fonds de Base et de les transférer sur le Ethereum . 

Selon PeckShield, le piratage a été rendu possible par des problèmes liés à la fonction de brûlage, qui a permis l'appel de retrait. 

Clober proposait des carnets d'ordres entièrement en chaîne

Clober est encore un protocole en phase de développement précoce avec une liquidité relativement faible. Son coffre à liquidités est désormais pratiquement vide. Le protocole a également intégré des liquidités le 9 décembre dernier, selon DeFi Llama. Le piratage a eu lieu le lendemain, ce qui laisse penser que le pirate suivait de près le protocole. 

Ces derniers jours ont été marqués par des attaques similaires portant sur des sommes relativement modestes. Les événements récents ont exploité des failles logiques dans les contrats intelligentstracfacilitant ainsi les tentatives de détournement de fonds. 

Cette faille de sécurité est survenue quelques jours seulement après que Clober ait finalisé un audit de sestracintelligents. L'entreprise avait fait appel à Kupia Security pour cet audit, une société réputée pour ses nombreux programmes de primes aux bogues sur des projets de grande envergure. 

Quelques jours auparavant, Clober avait également fait la promotion de son système de réserve de liquidités, conçu pour fluidifier l'activité et les échanges sur les plateformes d'échange décentralisées (DEX). À l'époque, l'entreprise affirmait que ses 500 000 $ de liquidités pouvaient générer un volume de 1,2 million de dollars en 24 heures, permettant ainsi de réaliser les transactions plus efficacement. C'est précisément cette liquidité disponible que l'escroc a détournée. 

La plateforme de liquidités Clober a été lancée sur Base il y a un peu plus d'une semaine, avec pour objectif de remplacer les teneurs de marché automatisés (AMM) traditionnels pour les transactions sur les DEX. Clober a également mené une campagne de promotion intensive, mettant notamment l'accent sur son approche ciblée en matière de liquidité et sur le potentiel de volumes élevés. 

Clober a été lancé peu après que Base ait atteint un nouveau record de valeur bloquée, son DeFi secteur 3,86 milliards de dollars de TVL. Clober ambitionne de proposer un modèle similaire à celui d'Aerodrome, où une liquidité ciblée permet d'atteindre des volumes bien plus importants en ciblant la fourchette de prix la plus courante pour les traders.