Posté le mars 29, 2023 à 6:43

SAFEMOON PERD 8,9 MILLIONS DE DOLLARS DE SON POOL DE LIQUIDITÉS À CAUSE D’UNE FONCTION « BURN » DÉFECTUEUSE

Hier, le 29 mars, le projet cryptographique SafeMoon a signalé que son pool de liquidités avait perdu 8,9 millions de dollars à la suite d’un piratage qui aurait abusé d’un bug dans la nouvelle fonction « burn » du projet. Cette fonction a été créée pour réduire l’offre du jeton du projet, ce qui a permis d’en gonfler artificiellement le prix. Elle a été intégrée dans un contrat intelligent distinct dans lequel la cryptomonnaie peut être envoyée, mais d’où elle ne peut pas être récupérée.

Le mécanisme de combustion est un élément courant des projets cryptographiques, et il est généralement utilisé pour réduire l’offre en circulation et augmenter la valeur des jetons détenus par les utilisateurs.

Parallèlement, les pools de liquidités sont également courants sur les plateformes DeFi et représentent d’importants dépôts de cryptomonnaie. Ces fonds facilitent les échanges, fournissent de la liquidité au marché et permettent aux bourses de crypto-monnaies de fonctionner sans avoir à emprunter auprès d’un tiers. Leur communauté stocke leurs propres fonds supplémentaires dans le pool, et en échange, ils obtiennent des récompenses, tandis que la plateforme peut immédiatement satisfaire les ordres du marché.

SafeMoon a confirmé que son pool de liquidités avait été dévalisé lors d’un incident de sécurité et que le projet travaillait à la résolution du problème.

To the @SAFEMOON community: We want to inform you that our LP has been compromised.

We are taking swift action in an attempt to resolve the issue as soon as possible. Follow here for updates.

Thank you for your support as we work to address this situation.

— SafeMoon (@safemoon) March 28, 2023

John Karony, PDG du projet, a déclaré que l’attaque avait eu lieu le 28 mars et qu’elle avait affecté le pool SFM:BNB. Cependant, la bourse de la plateforme n’a pas été impliquée dans l’incident. Dans sa déclaration, il a souligné que le projet avait identifié l’exploit utilisé par le hacker et que la vulnérabilité avait été patchée immédiatement après.

Cependant, la plateforme est toujours en train d’identifier la nature et l’étendue exacte de l’exploit. Répondant aux inquiétudes des utilisateurs, Karony a déclaré que leurs jetons restaient en sécurité. Les autres pools de liquidités du projet n’ont pas non plus été affectés par l’attaque, et il en va de même pour les mises à jour et les versions à venir.

Que sait-on de l’exploit ?

Les experts en sécurité de PeckShield ont fourni des détails sur l’exploit. Selon eux, la récente mise à jour a introduit une fonction de contrat intelligent qui brûle des jetons pour le projet, mais la fonction n’a pas été configurée correctement. Apparemment, elle a été mise à la disposition du public sans restrictions, ce qui signifie que n’importe qui pouvait l’exécuter à sa guise.

Karony a noté que le système n’était censé être utilisé qu’en cas d’urgence, par exemple lorsque le pool de liquidités est exposé à des risques dus à des contrats intelligents malveillants, lorsqu’il y a un dérapage excessif, et dans d’autres situations similaires. Cependant, le hacker a utilisé la fonction pour brûler des jetons SafeMoon — une grande quantité d’ailleurs — ce qui a entraîné une augmentation importante de la valeur du jeton.

Lorsque le prix est monté en flèche, une autre adresse a vendu des jetons SafeMoon à cette valeur accrue, ce qui a drainé 8,9 millions de dollars du pool de liquidités SafeMoon:WBNB.

Dans les heures qui ont suivi l’attaque, la personne qui a converti la cryptomonnaie du projet en BNB a déclaré que ce n’était pas elle qui avait initialement attaqué SafeMoon. Au lieu de cela, elle a accidentellement effectué un front run suite à l’inflation artificielle causée par l’exploit.

Pour l’instant, une certaine confusion règne autour de cet incident. On ne sait toujours pas si le propriétaire de l’adresse est la personne qui a perpétré l’attaque ou quelqu’un d’autre qui a été impliqué d’une manière ou d’une autre dans l’incident. Ce que l’on sait en revanche, c’est que cette personne a proposé de restituer les fonds volés à SafeMoon.

Ils ont effectué une transaction avec un message pour SafeMoon qui disait : « Hey détendez-vous, nous sommes accidentellement en train de lancer une attaque contre vous, nous aimerions vous rendre le fonds, établissez un canal de communication sécurisé, parlons-en ».

Depuis lors, cette personne a transféré 4 000 pièces BNB, qui valent 1 264 440 dollars selon le cours de l’époque. Les fonds ont été transférés à une adresse différente, ce qui a rendu l’opération moins accidentelle.