Le pirate a réussi à sécuriser 100 Ethereum (ETH) des fonds concernés avant que les bots malveillants ne copient l'attaque, ce qui a entraîné une perte de plus de 3,3 millions de dollars (environ 1800 ETH). Le pirate, dont l'identité reste anonyme, a tweeté aujourd'hui qu'il avait réussi à “pirater” 0xSifu pour 100 ETH et qu'ils étaient prêts à rendre les fonds s'ils étaient contactés plus tard, Sifu l'a remercié dans un tweet pour la restitution.
Cependant, sa tentative de protéger la plateforme a été contrecarrée par les actions rapides des bots de la valeur extractible du mineur (MEV), qui ont mis en œuvre des contrats et reproduit l'attaque avant que la vulnérabilité n'ait pu être entièrement corrigée.
Bots de minage à valeur extractible (MEV)
Les bots Miner Extractable Value (MEV) sont des programmes automatisés conçus pour exploiter les opportunités de profit au sein des réseaux de Blockchain, en particulier dans l'écosystème Ethereum. Ces bots tirent parti de la conception inhérente des réseaux décentralisés, où les mineurs sont chargés de valider et d'ordonner les transactions au sein des blocs. Les robots MEV cherchent à tirer parti du pouvoir qu'ont les mineurs de choisir les transactions à inclure dans un bloc et l'ordre dans lequel elles sont placées.
L'objectif principal des robots MEV est d'identifier et d'agir sur les opportunités rentables, telles que le frontrunning, le backrunning, l'arbitrage et les attaques en sandwich. Ces stratégies permettent aux robots MEV de tirer profit de la connaissance des transactions en attente en manipulant leur emplacement dans le bloc. Lorsqu'on lui demande pourquoi Trust n'a pas simplement averti Sifu, a écrit:
“Je ne savais pas à quel point les robots MEV (rebuilt 3 TX) étaient ridiculement avancés, je pensais que chaque seconde comptait et je voulais pirater un tas d'adresses supplémentaires.”
La question faisait apparemment allusion au principe de cybersécurité de la divulgation responsable. La divulgation responsable est un principe de la communauté de la cybersécurité qui met l'accent sur le signalement éthique des vulnérabilités découvertes dans les logiciels ou les systèmes aux développeurs ou aux vendeurs respectifs avant de rendre l'information publique. L'objectif principal de la divulgation responsable est de donner à la partie concernée la possibilité d'aborder et de corriger la vulnérabilité, minimisant ainsi le risque d'exploitation par des acteurs malveillants.
Dans le contexte des crypto-monnaies et de la technologie blockchain, le piratage préventif pour sécuriser les fonds en position vulnérable peut ne pas être une option favorable en raison de la nature publique des transactions de crypto-monnaies. Dans les réseaux décentralisés, les données des transactions sont transparentes et accessibles à tous les participants.
Cette ouverture permet à des acteurs malveillants d'observer et d'imiter ces transactions. Par conséquent, le piratage préventif n'est raisonnable que lorsque tous les fonds vulnérables peuvent être sécurisés assez rapidement, empêchant ainsi les acteurs malveillants de reproduire l'attaque à temps.
La société de cybersécurité PeckShield est intervenue dans la situation et a révélé que le contrat RouterProcessor2 dans SushiSwap avait un bug lié à l'approbation qui a causé la perte substantielle de 0xSifu. L'entreprise a demandé aux utilisateurs qui avaient approuvé le contrat d'annuler leur approbation dès que possible, en fournissant un lien vers l'adresse du contrat sur Etherscan.
Jared Grey, développeur principal de SushiSwap, confirmé la présence de l'erreur d'approbation dans le contrat RouterProcessor2 via un tweet. Il a exhorté les utilisateurs à annuler immédiatement leur approbation et leur a assuré que les équipes de sécurité de la plateforme travaillaient à atténuer le problème. M. Gray a également indiqué qu'une grande partie des fonds concernés avaient été sécurisés par un processus de sécurité de type “white hat”.
Dans un tweet de suivi, Gray a annoncé la récupération de plus de 300 ETH de CoffeeBabe, un utilisateur qui avait réussi à récupérer une partie des fonds volés. SushiSwap est également en contact avec l'équipe du Lido pour sécuriser 700 ETH supplémentaires.
Cet incident met en évidence le paysage en constante évolution de la sécurité des crypto-monnaies, où les hackers white hat travaillent pour protéger les plateformes et les actifs, mais où les acteurs malveillants restent une menace constante. Il souligne également la nécessité de renforcer les mesures de sécurité et la collaboration entre les plateformes et les hackers “white hat” pour remédier aux vulnérabilités et minimiser les pertes.
