Les meilleures analyses crypto directement dans votre boîte mail.
Des pirates informatiques s'attaquent à Asterisk, une version dérivée du protocole Flooring, alors que la contagion se propage
- Une faille de sécurité a permis de soutirer environ 40 000 $ à Asterix, une version dérivée de Flooring Protocol, en utilisant la même vulnérabilité qui avait coûté à Flooring plus de 900 000 $ la veille.
- Des chercheurs en informatique éthique, dirigés par Yuga Labs, ont récupéré environ 500 000 $ en NFT provenant des pools de Flooring.
- Ces attaques successives soulignent le risque que les bases de code dérivées héritent de failles de sécurité non corrigées au cours d'une année où les pertes liées à l'exploitation des cryptomonnaies ont déjà dépassé les 340 millions de dollars.
L'exploit du Flooring Protocol du 8 juin a connu une suite plus tôt dans la journée lorsqu'Asterix, une version dérivée de la plateforme de liquidité NFT, a été victime d'une attaque qui a permis de dérober environ 40 000 $ d'actifs.
Cette nouvelle concernant l'exploitation de la faille assombrit l'ambiance, après que des chercheurs en sécurité informatique ont annoncé avoir récupéré plus de 500 000 $ en NFT de premier ordre provenant de la même vulnérabilité destracde Flooring qui semble avoir été utilisée pour pénétrer le système Asterisk.
La vulnérabilité du protocole Flooring s'est propagée à Asterisk via du code dérivé
Phalcon, membre de la société de sécurité blockchain BlockSec, a été l'un des premiers à remarquer les similitudes entre le vecteur d'attaque d'Asterix et la faille qui a permis aux attaquants de vider les pools du protocole Flooring le 8 juin.
Phalcon a déclaré que l'attaque du Flooring Protocol avait essentiellement été menée sur Asterix parce que ce dernier était apparemment dérivé de DN404/BT404, une norme de jetons qui mélange des mécanismes fongibles et non fongibles.
Les premiers rapports concernant l'incident de Flooringdent état de pertes supérieures à 900 000 $ avant que des interventions éthiques ne permettent de récupérer environ 500 000 $.
Astérix a déjà confirmé la faille dans un communiqué X, reconnaissant qu'une exploitation avait affecté le contrat du jeton $ASTXtrac4 h GMT+8. L'équipe a déclaré qu'elle enquêtait et publierait un rapport complet une fois l'analyse terminée.
Comment la faille de sécurité liée au revêtement de sol a-t-elle eu lieu ?
Flooring Protocol, qui a cessé ses activités l'année dernière, permettait aux utilisateurs de déposer des NFT dans des pools et de recevoir des jetons fongibles liés un à un à ces actifs bloqués.
L’attaque Flooring Protocol, qui a depuis commencé à se propager, a exploité une faille dans le système comptable de type BT404 de la plateforme, que le vice-président de la blockchain chez Yuga Labs a qualifiée de phénomène de « propriété fantôme » surX.
En termes simples, cela signifie que quelqu'un pourrait utiliser un identifiant de jeton malveillant pour passer un contrôle de propriété et le réutiliser pour produire un résultat différent dans une autre logique comptable, provoquant ainsi un problèmematicdans le solde des jetons.
Dans ce cas précis, l'attaquant a créé un solde quasi infini de fpTokens, les jetons fongibles que n'importe qui peut utiliser pour réclamer des NFT bloqués dans les pools de Flooring.
Yuga Labs intensifie ses efforts en matière de sécurité éthique
Une fois la faille de Flooring rendue publique, le PDG de Yuga Labs, Michael Figge, a déclaré que la société avait rapidement lancé une opération de sauvetage éthique avant qu'un autre attaquant ne puisse atteindre les NFT vulnérables.
L'opération de sauvetage des NFT a permis de récupérer 68 NFT d'une valeur estimée à 346 ETH (environ 570 000 $ à l'époque), dont 29 NFT Bored Ape Yacht Club, quatre Mutant Apes, deux CryptoPunks, un Azuki, deux Elementals, 26 Captains, un Moonbird et deux Doodles.
Super Secret Rare (SSR), un projet qui a détecté sa vulnérabilité après qu'Asterisk ait été touché, a averti les utilisateurs de ne pas interagir avec le pool tant que la situation restait non résolue.
FreeLunchCapital, le développeur destracaffectés de Flooring, a confirmé que la faille avait également touché BitmapPunks, qui utilisait une conception detracsimilaire. Les deux projets reposaient sur des jetons fongibles liés un à un à des NFT verrouillés, les rendant vulnérables à la même attaque.
Un exploit après l'autre
Flooring et Asterixdents'ajoutent à une série alarmante de failles de sécurité qui affectent le Web3. Comme Cryptopolitan dans de précédents rapports, lestronindividuelsdenten mai, atteignant 60 incidents de sécurité confirmésdentun total de 68,3 millions de dollars de pertes brutes selon Certik. PeckShield a attribué 340,7 millions de dollars de pertes à 14 exploits de ponts et d'interconnexions de chaînes au 1er juin.
Les protocoles dérivés présentent leurs propres problèmes. Lorsque des projets en aval copient du code sans l'auditer, une simple vulnérabilité du code source peut se propager à plusieurs niveaux, comme ce fut le cas récemment pour Flooring et Asterix.
Yuga Labs a annoncé que les NFT récupérés seront restitués dès que les développeurs de Flooring Protocol auront finalisé un correctif. 0xQuit a mis en garde les utilisateurs contre le dépôt de nouveaux NFT sur Flooring tant que la faille de sécurité persiste. Pour les détenteurs d'Asterix, la perte de 40 000 $ est moins importante, mais l'équipe n'a pas encore indiqué si une récupération est possible.
Si vous lisez ceci, vous avez déjà une longueur d'avance. Restez-y grâce à notre newsletter.
FAQ
Qu'est-ce qu'Astérix et quel est son lien avec le protocole de revêtement de sol ?
Asterix est un projet qui a dérivé son code du protocole Flooring et de la norme de jeton DN404/BT404. Ce code source partagé a permis d'exploiter la même vulnérabilité qui avait été mise en cause dans Flooring le 8 juin, et ce dès le lendemain dans Asterix.
Combien de pertes et de récupérations ont été effectuées lors de l'exploitation de la faille du protocole Flooring ?
L'impact total de l'exploitation de la faille Flooring a dépassé 900 000 $, les chercheurs en sécurité informatique ayant récupéré environ 500 000 $ de NFT, dont 29 Bored Apes et deux CryptoPunks.
Qu'est-ce qui a provoqué la vulnérabilité du protocole Flooring ?
Selon 0xQuit, vice-président de la blockchain chez Yuga Labs, une faille dans le système comptable de type BT404 de Flooring a permis à un identifiant de jeton malveillant de passer un contrôle de propriété tout en renvoyant un résultat différent lors d'une comptabilité ultérieure, créant ainsi un état de « propriété fantôme » qui a donné à l'attaquant un solde quasi infini de jetons de revendication.
Avertissement : Les informations fournies ne constituent pas un conseil en investissement. CryptopolitanCryptopolitan.com toute responsabilité quant aux investissements réalisés sur la base des informations présentées sur cette page. Nous voustronrecommandons vivement d’effectuer vosdent et/ou de consulter un professionnel qualifié avant toute décision d’investissement.
Hannah Collymore
Hannah est rédactrice et éditrice, forte d'une expérience de près de dix ans dans la rédaction de blogs et la couverture d'événements liés aux cryptomonnaies. Chez Cryptopolitan, elle contribue à la page d'actualités en rédigeant des articles et en analysant les dernières évolutions de la finance décentralisée DeFi, des comptes gérés par les utilisateurs (RWA), de la réglementation des cryptomonnaies, de l'intelligence artificielle (IA) et des technologies de pointe. Elle est diplômée en administration des affaires de l'université Arcadia.
- Quelles cryptomonnaies peuvent vous faire gagner de l'argent ?
- Comment renforcer la sécurité de votre portefeuille (et lesquels valent vraiment la peine d'être utilisés)
- Stratégies d'investissement peu connues utilisées par les professionnels
- Comment débuter en investissement crypto (quelles plateformes d'échange utiliser, quelles cryptomonnaies acheter, etc.)