Hack news
Le protocole de yield trading Nemo, construit sur la blockchain Sui, a été victime d’un piratage début septembre, avec un vol estimé à 2,59 millions de dollars. L’attaque a été rendue possible par une erreur dans le logiciel, comme l’indique une analyse du projet.
Vulnérabilité dans le smart contract
Le piratage a eu lieu via une vulnérabilité dans une fonction de smart contract qui était censée limiter les risques commerciaux. Du fait que la fonction a été mise en ligne sans contrôle suffisant, les pirates ont pu manipuler le fonctionnement du système.
Selon la société de sécurité Asymptotic, l’erreur avait déjà été découverte et signalée auparavant. Cependant, l’équipe de Nemo reconnaît que l’avertissement n’avait pas été pris assez au sérieux à l’époque.
Procédures de contrôle insuffisantes
Une cause importante de l’incident était que seulement une personne avait le pouvoir de mettre en place directement du nouveau code onchain. Ceci se faisait sans contrôles supplémentaires ou divulgation obligatoire. Le code vulnérable a été ajouté au début de cette année, alors que des procédures plus strictes n’ont été introduites que des mois plus tard.
Bien qu’Asymptotic ait à nouveau averti le 11 août, Nemo a choisi de se concentrer sur d’autres problèmes. Le 7 septembre, l’erreur a finalement été exploitée, entraînant une perte de millions.
Réaction de Nemo
Immédiatement après le piratage, les fonctions principales de Nemo ont été mises en pause pour éviter d’autres dommages. La plateforme collabore maintenant avec plusieurs équipes de sécurité et fournit des adresses aux grandes bourses de cryptomonnaies pour geler les fonds volés.
Nemo a également développé un patch d’urgence. Les fonctions vulnérables ont été supprimées, le code erroné a été modifié et une possibilité de réinitialisation manuelle a été ajoutée. Un plan de compensation pour les utilisateurs est également en cours d’élaboration, potentiellement sous la forme d’une restructuration au niveau de la tokenomics.
Leçon pour le secteur
L’incident souligne une fois de plus la vulnérabilité des plateformes de crypto. Plus tôt cette année, la place de marché NFT SuperRare a également perdu plus de 700 000 dollars à cause d’une erreur logicielle facilement évitable.
Nemo a présenté ses excuses aux utilisateurs et promet une surveillance plus stricte et de meilleurs contrôles de sécurité pour les mises à jour futures.
Bitrefill victime d’une cyberattaque : une enquête sur un lien avec le groupe Lazarus
Après avoir découvert la cyberattaque, Bitrefill a pris des mesures immédiates en mettant temporairement ses systèmes hors ligne.
Un hacker prétend avoir divulgué le code source de la plateforme e-gouvernementale suédoise après un incident chez CGI
CGI indique que les serveurs concernés donnaient accès à une version antérieure d’une application et à son code source.
Vulnérabilité des puces MediaTek : risque de vol de phrases-seed crypto
Une vulnérabilité dans les chipsets de MediaTek aurait pu permettre à des attaquants de voler des phrases-seed crypto sur des téléphones Android.
Le plus lu
Le marché immobilier de Dubaï chute de 16 % en cinq jours : un record dû à la guerre
L’indice immobilier de Dubaï a chuté de 16 % en cinq jours en raison des attaques iraniennes. Les investisseurs se retirent, entraînant la plus forte baisse jamais enregistrée.
Prévisions pour le XRP : le cours peut-il atteindre 10 $ ou 28 $ d’ici 2030 ?
Les analystes estiment que le XRP pourrait progresser vers 10 dollars, voire 28 dollars dans les prochaines années, en fonction de l’adoption et de la réglementation.
L’immobilier à Dubaï pourrait chuter de 50 à 70 % : la guerre avec l’Iran transforme la ville de rêve en zone à risque
L’immobilier à Dubaï pourrait chuter jusqu’à 70 % en raison de la guerre avec l’Iran. Les investisseurs se tournent massivement vers Singapour, Hong Kong et la Turquie.