Chargement des prix…
Zipp Zipp Faire de la publicité
S'inscrire Se connecter
🩸BEARISH CoinDesk

Exploit SecondFi : 2,4 M $ vidés de portefeuilles Cardano

La faille se nichait dans la couche de génération d'adresses de SecondFi, si bien que migrer une phrase de récupération vers un nouveau portefeuille n'offre aucune protection, et l'estimation élargie de SlowMist est le chiffre que tout détenteur d'ADA lit en ce moment.

Exploit SecondFi : 2,4 M $ vidés de portefeuilles Cardano
Exploit SecondFi : 2,4 M $ vidés de portefeuilles Cardano
Exploit SecondFi : 2,4 M $ vidés de portefeuilles Cardano
Exploit SecondFi : 2,4 M $ vidés de portefeuilles Cardano
Exploit SecondFi : 2,4 M $ vidés de portefeuilles Cardano
Exploit SecondFi : 2,4 M $ vidés de portefeuilles Cardano
Exploit SecondFi : 2,4 M $ vidés de portefeuilles Cardano
Exploit SecondFi : 2,4 M $ vidés de portefeuilles Cardano

SecondFi, le portefeuille Cardano anciennement connu sous le nom de Yoroi, a été frappé par trois attaques distinctes qui ont vidé environ 16 millions d'ADA, soit quelque 2,4 millions de dollars, de 374 portefeuilles d'utilisateurs, via une faille dans le logiciel propriétaire de génération de portefeuilles de la plateforme. Un correctif a déjà été déployé pour les utilisateurs non concernés.

La vulnérabilité s'active au niveau de l'adresse lors de la signature d'une transaction, ce qui signifie que les utilisateurs affectés ne peuvent pas se protéger en déplaçant leur phrase de récupération vers un autre portefeuille. Ils doivent au contraire soumettre leurs réclamations directement à SecondFi. Avant que les attaquants ne puissent atteindre 129 millions d'ADA supplémentaires détenus par les utilisateurs impactés, l'équipe a déclenché des mesures de sauvetage d'urgence et acheminé les fonds vers un dépositaire tiers indépendant. Un cabinet comptable externe a été mandaté pour vérifier ces avoirs.

La société de sécurité blockchain SlowMist a estimé que les pertes totales pourraient toujours dépasser 20 millions de dollars une fois comptabilisé l'ensemble des portefeuilles et des jetons compromis, un chiffre qui reste non confirmé dans l'attente d'un audit indépendant.

Pourquoi c'est important

Le mécanisme fait l'actualité. Les failles de génération de clés au niveau des adresses constituent une catégorie de bugs particulièrement redoutable, car la mesure de récupération standard en auto-garde, à savoir balayer une phrase de récupération vers un portefeuille neuf, ne neutralise pas l'exposition. Chaque signature provenant d'une clé compromise reste une porte ouverte. Le workflow de réclamation de SecondFi est donc l'unique voie de sortie pour les utilisateurs affectés, ce qui reporte la charge de la restitution sur une petite équipe encore occupée par sa propre gestion de l'incident.

Le fondateur de Cardano, Charles Hoskinson, a reconnu publiquement l'incident et a fait remarquer que le montant en dollars restait modeste par rapport à d'autres piratages crypto, tout en soulignant que cela offrait peu de consolation aux personnes touchées. « Ils souffrent dès qu'ils perdent quoi que ce soit. C'est la réalité malheureuse de la crypto », a-t-il déclaré.

Impact sur le marché

L'ADA se négocie actuellement autour de 0,15 $, son plus bas niveau depuis 2020. L'exploit s'ajoute à une tendance baissière pluriannuelle pour le jeton et exerce une pression réputationnelle sur l'infrastructure de portefeuille native de Cardano à un moment où l'activité du réseau était déjà faible.

Tokens associés
$ADA
$ADA#Cardano#WalletExploit#SlowMist

Questions fréquemment posées

  1. Combien a été dérobé lors de l'exploit du portefeuille Cardano SecondFi ?

    SecondFi a confirmé que trois attaques ont vidé environ 16 millions d'ADA, soit quelque 2,4 millions de dollars, de 374 portefeuilles d'utilisateurs.

  2. Pourquoi les utilisateurs ne peuvent-ils pas se protéger en déplaçant leur phrase de récupération ?

    La vulnérabilité se situe au niveau de l'adresse et s'active à la signature d'une transaction, si bien que transférer une phrase de récupération vers un autre portefeuille ne neutralise pas l'exposition. Les utilisateurs affectés doivent soumettre leurs réclamations directement à SecondFi.

  3. Combien d'ADA SecondFi a-t-il sauvé avant que les attaquants ne puissent l'atteindre ?

    L'équipe a déclenché des mesures de sauvetage d'urgence et acheminé 129 millions d'ADA supplémentaires vers un dépositaire tiers indépendant. Un cabinet comptable externe a été mandaté pour vérifier ces avoirs.

  4. Quelle est l'estimation élargie des pertes par SlowMist ?

    La société de sécurité blockchain SlowMist estime que les pertes totales pourraient dépasser 20 millions de dollars une fois comptabilisé l'ensemble des portefeuilles et jetons compromis, un chiffre qui reste non confirmé dans l'attente d'un audit indépendant.

  5. Comment l'ADA a-t-il réagi à l'exploit ?

    L'ADA se négocie autour de 0,15 $, son plus bas niveau depuis 2020, l'exploit ajoutant une pression réputationnelle sur l'infrastructure de portefeuille native de Cardano par-dessus une tendance baissière pluriannuelle préexistante.

Attribution de la source
Agrégé de CoinDesk · Vérifié · Dernière mise à jour il y a 1h
Ouvrir l'original →

Plus de Sécurité

Histoires que nos éditeurs pensent bien s'accorder avec celle-ci.

Plus ancien dans Sécurité

Rattrapez les couvertures antérieures de ce sujet.