Moins de deux mois après le piratage massif ayant visé la plateforme Curve Finance, le réseau décentralisé Mixin Network a annoncé avoir été victime à son tour d’un piratage massif ayant entraîné la perte de près de 200 millions de dollars d’actifs.
Mixin Network est victime d’un piratage massif
La base de données du prestataire cloud de Mixin Network a été visée par une attaque informatique ayant entraîné la perte de près de 200 millions de dollars. Le protocole Mixin Network a pour le moment suspendu tous les services de dépôts et retraits. Les transferts ne sont pas pour le moment affectés par l’incident.
[Announcement] In the early morning of September 23, 2023 Hong Kong time, the database of Mixin Network's cloud service provider was attacked by hackers, resulting in the loss of some assets on the mainnet. We have contacted Google and blockchain security company @SlowMist_Team…
— Mixin Kernel (@MixinKernel) September 25, 2023
SlowMist, une société spécialisée dans la sécurité de l’écosystème blockchain, participe actuellement à l’enquête afin d’identifier les failles de sécurité et comprendre l’origine du piratage.
D’après les premiers éléments de l’enquête, l’attaque se serait déroulée le 23 septembre dernier et aurait visé les serveurs cloud d’un prestataire informatique de Mixin Network. Les hackers seraient parvenus à dérober des actifs numériques sur le mainnet, d’une valeur totale de plus de 200 millions de dollars.
Ce nouveau piratage informatique est très surprenant. De nombreux utilisateurs sur Twitter ne comprennent pas comment le piratage d’une base de données cloud peut affecter et entraîner la perte de plus de 200 millions de dollars sur un réseau qui est normalement supposé être décentralisé.
Rappelons en effet que le réseau Mixin Network a été fondé en 2017 afin d’offrir un réseau transactionnel P2P ultra-rapide et très compétitif pour les actifs numériques. D’après la documentation officielle disponible sur la page d’accueil, Mixin Network “repose sur un réseau décentralisé ouvert et transparent, qui est collectivement réservé et géré par 35 nœuds du réseau principal”.
Le PDG et cofondateur de l’agence Nephele Lab explique sur Twitter que malgré la décentralisation apparente de la plupart des projets Web3, la plupart des données sont stockées chez les plus gros fournisseurs cloud, comme AWS par exemple.
It is because 94% of web3 services I have discussed with are using a centralized Cloud operator. The decentralization is not used for the customers' data storage…
— Brieuc | Nephele Labs (@Briwind) September 25, 2023
Cette nouvelle attaque informatique illustre donc bien les difficultés de maintenir une base de données sécurisée dans le cloud. Cette méthode de stockage, utilisée par la quasi-totalité des sites Web, peut parfois présenter des problèmes de sécurité préoccupants lorsqu’il s’agit de stocker des informations très sensibles. Dès que des hackers parviennent à accéder à l’espace de stockage, ils peuvent potentiellement exécuter toutes les tâches qu’ils souhaitent, et donc y compris virer des actifs en dehors du système.
Lancé en 2017, le réseau transactionnel P2P Mixin Network offrait un service ultra-rapide et très compétitif pour les actifs numériques. La valeur totale sécurisée du réseau dépassait le cap du milliard de dollars. Le réseau est capable de supporter jusqu’à 1 million de transactions par seconde (TPS), ce qui est largement supérieur à la quasi-totalité des autres réseaux similaires. Plus de 1000 applications fonctionnent actuellement sur ce réseau dont notamment des plateformes NFT.
Ce nouvel incident intervient seulement près de trois mois après l’exploit à grande échelle visant la plateforme DeFi Curve Finance. L’origine du piratage est principalement attribuable à une faille de sécurité présente dans une version antérieure du langage de programmation Vyper. La faille de sécurité a permis aux hackers d’infiltrer le code de Curve Finance et de siphonner les fonds de ce projet Defi populaire.
Source : Mixin Network
Sur le même sujet :
- CoinEx fait le point sur le récent piratage de hot wallets
- Les investisseurs ont-ils toujours confiance en la DeFi après le piratage de Curve Finance ?
- Un hacker retourne 5.4 millions de dollars suite au piratage de Curve