Dans une interview exclusive avec crypto.news, un pirate informatique pseudonyme connu sous le nom de Trust a partagé des détails cruciaux concernant un récent piratage qui a profité d'une vulnérabilité du contrat RouteProcessor2.

Trust a pu économiser une quantité importante de fonds des utilisateurs en effectuant un piratage préventif le 10 avril sur les fonds détenus par Sifu, pour ensuite restituer ces fonds après les avoir mis en sécurité.

Malheureusement, des acteurs malveillants ont pu imiter l'attaque et exploiter la vulnérabilité contre d'autres détenteurs.

SushiSwap touché par une attaque avancée

Trust a expliqué que le contrat RouteProcessor2, déployé il y a à peine quatre jours, est conçu pour superviser différents types d'échanges de jetons SushiSwap (SUSHI). Les utilisateurs pré-approuvent le contrat pour dépenser leurs jetons ERC20, puis appellent la fonction swap() pour exécuter l'échange.

Cependant, le contrat interagit avec les pools UniswapV3 de manière dangereuse, car il fait entièrement confiance à l'adresse du « pool » fournie par l'utilisateur.

Cet oubli permet à un mauvais pool de fournir de fausses informations au contrat sur la source et le montant d'un transfert, permettant ainsi à tout utilisateur de simuler un échange et d'accéder à la totalité du montant approuvé par un autre utilisateur.

Vous aimerez peut-être aussi : Voici comment les robots MEV sur SushiSwap ont causé une perte de 3,3 millions de dollars

Trust a déclaré que cette vulnérabilité aurait dû être détectée par n'importe quel cabinet d'audit raisonnable, soulevant des inquiétudes quant à la maturité de la base de code de production.

Le pirate informatique a également mentionné la présence de robots très sophistiqués qui reproduisaient leur transaction d'économie de fonds pour voler des actifs, soulignant les ressources et les capacités étendues de ces robots, connus sous le nom de robots à valeur extractible par les mineurs (MEV).

Trust a choisi d'effectuer le piratage préemptif pour plusieurs raisons.

Premièrement, il avait soumis un rapport de vulnérabilité complet une heure et demie avant le piratage, mais n'avait reçu aucune réponse.

Deuxièmement, il craignait que l’équipe de développement ne soit pas disponible pendant le week-end.

Troisièmement, ils savaient que le contrat ne pouvait pas être réparé et qu’il pouvait seulement être piraté ou faire révoquer l’approbation des utilisateurs.

Enfin, ils ont donné la priorité à la sauvegarde d’une seule adresse détenant la majorité des fonds à risque, l’adresse de Sifu. Trust n’a pas non plus anticipé la complexité des robots MEV dans la situation.

À la lumière de ces révélations, il est crucial que la communauté cryptographique réévalue ses pratiques de sécurité et donne la priorité à des audits approfondis des contrats intelligents afin d’éviter que de telles vulnérabilités ne soient exploitées.

Les actions de Trust démontrent l’importance des pirates informatiques au chapeau blanc dans l’écosystème, s’efforçant de protéger les fonds des utilisateurs et d’améliorer la sécurité globale.

Vous aimerez peut-être aussi : Le protocole DeFi Euler Finance subit un piratage de 197 millions de dollars