Chargement des prix…
Zipp Zipp Faire de la publicité
S'inscrire Se connecter
〽️NEUTRAL TheBlock

EMURGO : remboursement ADA d'environ 2,4 M$ en deux semaines

Environ 16M d'ADA vidés de 374 adresses en trois jours, et la voie de récupération passe par un SDK tiers non audité qui a discrètement remplacé le code de signature du wallet le 8 juin.

EMURGO a annoncé samedi avoir identifié une voie de récupération pour les utilisateurs de son portefeuille Cardano SecondFi et compte commencer à restituer les actifs d'ici environ deux semaines.

L'exploit a vidé environ 16 millions d'ADA, soit environ 2,4 millions de dollars, depuis 374 adresses entre le 21 et le 23 juin, à cause d'une faille dans le logiciel de génération de portefeuille de SecondFi lui-même. Un rapport de Tibane Labs, un constructeur de portefeuilles concurrent, met en cause un SDK tiers non audité qui aurait, selon lui, remplacé le code de signature audité d'EMURGO le 8 juin et laissé une signature unique capable de divulguer la clé privée d'un utilisateur.

Pourquoi c'est important

La brèche touche la couche logicielle du portefeuille, pas le protocole Cardano lui-même, mais le mode de défaillance reste inconfortable pour l'écosystème : un échange de dépendance dans le pipeline de build a introduit du code non vérifié dans un chemin de signature auparavant audité. C'est le type d'événement de supply chain qui pousse les portefeuilles concurrents à publier leurs hashes de dépendances et leurs attestations d'audit, et qui met EMURGO sous pression pour divulguer précisément quel SDK a été remplacé, quand, et comment la substitution a passé l'étape de revue de code.

Impact sur le marché

L'ADA n'a pas montré de réaction de marché coordonnée face à la nouvelle, ce qui est cohérent avec un incident lié à un éditeur de portefeuille plutôt qu'à une défaillance au niveau du protocole. Le signal le plus durable est réputationnel : une perte de 2,4 M$ répartie sur 374 utilisateurs est faible au regard de la capitalisation de la chaîne, mais elle concentre les dégâts spécifiquement sur la base d'utilisateurs de SecondFi. À surveiller : EMURGO publie-t-il les adresses des contrats de récupération, le délai de deux semaines tient-il, et les éditeurs de portefeuilles natifs Cardano commencent-ils à publier des attestations de SDK tiers par défaut.

Tokens associés
$ADA
$ADA#Cardano#WalletExploit#SupplyChain

Questions fréquemment posées

  1. Le protocole Cardano lui-même a-t-il été piraté lors de l'incident SecondFi ?

    Non. L'exploit ciblait le logiciel de génération de portefeuille de SecondFi, pas le protocole Cardano. Environ 16 millions d'ADA, soit environ 2,4 millions de dollars, ont été vidés de 374 adresses utilisateur entre le 21 et le 23 juin.

  2. Comment l'exploit SecondFi a-t-il fonctionné concrètement ?

    Selon un rapport de Tibane Labs, un SDK tiers non audité a remplacé le code de signature audité d'EMURGO le 8 juin et a laissé une signature unique capable de divulguer la clé privée d'un utilisateur.

  3. Qui est EMURGO et qu'est-ce que SecondFi ?

    EMURGO est l'une des entités fondatrices de Cardano. SecondFi est son produit de portefeuille Cardano, et l'exploit a touché le logiciel du portefeuille lui-même, pas la chaîne sous-jacente.

  4. Les utilisateurs de SecondFi affectés seront-ils remboursés en ADA ?

    EMURGO a annoncé samedi avoir identifié une voie de récupération et prévoit de commencer à restituer les actifs sous environ deux semaines. L'annonce n'a pas encore nommé les adresses des contrats de récupération.

  5. Combien a été perdu dans l'exploit SecondFi ?

    Environ 16 millions d'ADA, valorisés à environ 2,4 millions de dollars au moment des faits, vidés de 374 adresses sur une fenêtre de trois jours, du 21 au 23 juin.

Attribution de la source
Agrégé de TheBlock · Vérifié · Dernière mise à jour il y a 1h
Ouvrir l'original →

Plus de Sécurité

Histoires que nos éditeurs pensent bien s'accorder avec celle-ci.

Plus ancien dans Sécurité

Rattrapez les couvertures antérieures de ce sujet.