Le hacker a restitué 414 jetons Ethereum lors d’une première transaction et 51,75 ETH lors d’une autre, soit 90 % des fonds qu’il avait volés.
Sentiment : le hacker avait volé plus de 500 Ethereum
Sentiment à finalement à récupérer la quasi-totalité des fonds subtilisés lors du dernier hack de son protocole de lending. Pour la négociation, l’entreprise à proposer une prime de 95 000 dollars au hacker afin qu’il restitue les capitaux volés. Dans les actus crypto de début de semaine, le hacker d’Allbridge avait lui aussi restitué la majeure partie des 573 000 dollars de fonds volés.
The Sentiment team has recently been made aware of a potential issue concerning the Sentiment protocol. We are actively looking into the situation and will provide additional information momentarily.
— Sentiment (@sentimentxyz) April 4, 2023
Dans une transaction on-chain sur la blockchain Arbitrum, Sentiment a livré un message au hacker indiquant que l’entreprise lui offrirait 95 000 dollars s’il restituait l’argent avant le 6 avril, l’invitant à “faire ce qu’il avait à faire”. Dans un scénario où le pirate ne restituait pas la somme, Sentiment offrait aussi l’argent à toute personne qui pourrait les aider dans leur quête de poursuite du coupable.
Taylor Monahan, développeur chez MetaMask, a suivi la progression du hacker et a précisé qu’il avait rendu 414 Ethereum lors d’une première transaction (pour une valeur d’environ 771 000 $). Par la suite, le hacker a renvoyé 51,75 ETH supplémentaires à l’adresse recovery de Sentiment. Après la transaction, le protocole de lending a confirmé qu’il avait bien récupéré les fonds.
Sentiment victime d’un hack de type “re-entry attack”
Le hack a eu lieu le 4 avril 2023. Certains observateurs on-chain ont suggéré qu’il s’agissait d’une attaque par réintroduction (re-entry attack). D’autres personnes ont supposé que le hacker avait exploité un bug du protocole. Les premières estimations des fonds perdus s’élevaient à environ 500 000 dollars. Après un certain temps, plusieurs membres de la communauté ont certifié que les pertes étaient plus proches du million de dollars.
Sur Twitter, plusieurs membres de la communauté ont réagi à l’incident. Un d’eux en a déduit que tout ce fiasco était dû au fait que les sociétés ne prenaient pas les bug bounties au sérieux et a salué la démarche du hacker pour sa “prise en main du problème”. Un autre membre décrit l’incident comme étant simplement “un bug bounty à l’aspect criminel”, et convie les entreprises à offrir des bug bounties plus importants et plus transparents.
Hackers are redefining bounty programs. Why take smol bounty when big bounty better.
— ru (@ru_defi) April 6, 2023
L’incident présente de nombreuses ressemblances avec le dernier piratage d’Euler Finance. Le 4 avril, le protocole Ethereum avait convaincu le kacker de rendre environ 90 % de la somme volés grâce à l’offre d’une grosse prime. Le pirate avait restitué environ 180 millions de dollars en crypto-actifs, tout en conservant près d’une vingtaine de millions de dollars.
Source : Sentiment, Twitter Sentiment, Arbiscan.io
Sur le même sujet :
- Piratage de Safemoon : le hacker s’en va avec 8.9 millions de dollars !
- DeFi : un hack de quasiment 200 millions $ sur Euler Finance
- Ces hackers exploitent des distributeurs de bitcoins et repartent avec 1.5 million $ !
Partager
Charles Ledoux
