Voici comment les bots MEV sur SushiSwap ont causé une perte de 3,3 millions de dollars

Lecture 7 minutes

Un pentester de crypto-monnaie pseudonyme, connu pour ses activités de piratage de chapeau blanc, s’est retrouvé dans une course contre la montre et des bots malveillants après avoir identifié une vulnérabilité dans le contrat RouterProcessor2 de SushiSwap.

Le pirate a réussi à sécuriser 100 ethereum (ETH) des fonds concernés avant que des robots malveillants ne copient l’attaque, entraînant une perte de plus de 3,3 millions de dollars (environ 1800 ETH). Le hacker, dont l’identité reste anonyme, tweeté aujourd’hui qu’ils avaient réussi à « hacker en blanc » 0xSifu pour 100 ETH et qu’ils étaient prêts à restituer les fonds s’ils étaient contactés. Il a ensuite été remercié par Sifu dans un tweet pour la restitution.

Cependant, leur tentative de protéger la plate-forme a été contrecarrée par les actions rapides des robots de valeur extractible par les mineurs (MEV), qui ont déployé des contrats et reproduit l’attaque avant que la vulnérabilité ne puisse être entièrement résolue.

Les bots Miner Extractable Value (MEV) sont des programmes automatisés conçus pour exploiter les opportunités de profit au sein des réseaux blockchain, en particulier au sein de l’écosystème Ethereum. Ces bots tirent parti de la conception inhérente des réseaux décentralisés, où les mineurs sont responsables de la validation et de la commande des transactions au sein des blocs. Les bots MEV cherchent à capitaliser sur le pouvoir dont disposent les mineurs pour choisir les transactions à inclure dans un bloc et l’ordre dans lequel elles sont placées.

L’objectif principal des bots MEV est d’identifier et d’agir sur les opportunités rentables, telles que le frontrunning, le backrunning, l’arbitrage et les attaques sandwich. Ces stratégies permettent aux bots MEV de profiter de la connaissance des transactions en attente en manipulant leur placement dans le bloc. Lorsqu’on a demandé à Trust pourquoi il ne s’était pas contenté d’avertir Sifu à la place, il écrit:

« Je ne savais pas à quel point les bots MEV étaient ridiculement avancés (reconstruit 3 TX), je pensais que chaque seconde comptait et je voulais pirater un tas d’adresses supplémentaires. »

La question faisait apparemment allusion au principe de cybersécurité de la divulgation responsable. La divulgation responsable est un principe au sein de la communauté de la cybersécurité qui met l’accent sur le signalement éthique des vulnérabilités découvertes dans les logiciels ou les systèmes aux développeurs ou fournisseurs respectifs avant de rendre l’information publique. L’objectif principal de la divulgation responsable est de fournir à la partie affectée l’opportunité de traiter et de corriger la vulnérabilité, minimisant ainsi le risque d’exploitation par des acteurs malveillants.

Dans le contexte des crypto-monnaies et de la technologie blockchain, le piratage préventif pour sécuriser les fonds dans une position vulnérable pourrait ne pas être une option favorable en raison de la nature publique des transactions cryptographiques. Sur les réseaux décentralisés, les données de transaction sont transparentes et accessibles à tous les participants.

Cette ouverture permet aux acteurs malveillants d’observer et d’imiter de telles transactions. Par conséquent, le piratage préventif n’est raisonnable que lorsque tous les fonds vulnérables peuvent être sécurisés assez rapidement, empêchant les mauvais acteurs de reproduire l’attaque à temps.

Entreprise de crypto-cybersécurité PeckShield pesé sur la situation, révélant que le contrat RouterProcessor2 sur SushiSwap avait un bug lié à l’approbation qui a conduit à la perte substantielle de 0xSifu. La firme a exhorté les utilisateurs qui avaient approuvé le contrat à révoquer leur approbation dès que possible, en fournissant un lien vers l’adresse du contrat sur Etherscan.

Jared Gray, développeur en chef de SushiSwap, confirmé la présence du bug d’approbation dans le contrat RouterProcessor2 via un tweet. Il a exhorté les utilisateurs à révoquer immédiatement leur approbation et les a assurés que les équipes de sécurité de la plateforme travaillaient à atténuer le problème. Gray a également signalé qu’une partie importante des fonds concernés avait été sécurisée grâce à un processus de sécurité chapeau blanc.

Dans un tweet de suivi, Gray a annoncé la récupération de plus de 300 ETH de CoffeeBabe, un utilisateur qui avait réussi à récupérer une partie des fonds volés. SushiSwap est également en contact avec l’équipe du Lido pour sécuriser 700 ETH supplémentaires.

Cet incident met en évidence le paysage en constante évolution de la sécurité des crypto-monnaies, où les pirates informatiques travaillent pour protéger les plates-formes et les actifs, mais les acteurs malveillants restent une menace constante. Cela souligne également la nécessité de mesures de sécurité renforcées et d’une collaboration entre les plates-formes et les pirates informatiques pour remédier aux vulnérabilités et minimiser les pertes.

Suivez-nous sur Google Actualités

Source https://crypto.news/heres-how-mev-bots-on-sushiswap-caused-a-3-3m-loss/

Crypto Week

Avertissement : Crypto Week ne fournit pas de conseils financiers de quelque manière que ce soit. Nous ne vous recommandons pas d'investir de l'argent dans une crypto-monnaie ou un actif financier sans avoir effectué des recherches approfondies. Nous ne sommes pas responsables de vos décisions financières de quelque manière que ce soit.

Derniers articles de Featured Posts