Accueil Un piratage à plus de 2,3 millions de dollars pour Temple DAO
Actualités Crypto-monnaies, Actualités sur Blockchain, Toute l'actualité

Un piratage à plus de 2,3 millions de dollars pour Temple DAO

Pourquoi faire confiance à Cryptonaute

Tous les articles, guides et analyses publiés sur Cryptonaute sont méticuleusement vérifiés par notre équipe d’éditeurs et de journalistes experts dans leur domaine, afin de garantir leur exactitude et leur pertinence. Nous gardons et publions uniquement les contenus vérifiés par des sources fiables, que ce soit par un site de confiance, un expert avéré ou par la personne source elle-même.

temple DAO
Rejoignez notre groupe Telegram pour rester au courant des dernières nouvelles crypto en direct.

Le 11 octobre 2022, Temple DAO, l’une des plus grosses organisations autonomes décentralisées sur le marché des cryptos, a été victime d’un piratage à plus de 2,3 millions de dollars. L’information a été révélée par l’utilisateur de Twitter Spreekaway, et confirmée ensuite par plusieurs entreprises spécialisées dans la sécurité informatique de la technologie de la Blockchain.

Une attaque par exploit à 2,3 millions de dollars !

Une vulnérabilité présente dans le code informatique de Temple DAO a permis à un pirate informatique de détourner la somme extraordinaire de 2,3 millions de dollars. L’attaque a été révélée par Spreekaway sur son compte Twitter :

L’attaque informatique s’est déroulée en plusieurs étapes. L’organisation précise sur son compte Twitter qu’un total de 321 154 jetons xLP ont été extraits du contrat xLP Staking à 15h08 (heure de Paris) pour être ensuite convertis en 1 262 438 jetons FRAX et 1 418 303 jetons TEMPLE. Le solde de jetons TEMPLE a ensuite été convertis en jetons FRAX.

https://twitter.com/staxfinance/status/1579855195693256704

Le hacker a ensuite échangé son stock de jetons FRAX en jetons USDC via le protocole financier décentralisé Uniswap, comme le montre la liste des transactions ci-dessous :

La faille de sécurité a permis au pirate de détourner 1,832.19947049 Ether vers une nouvelle adresse appartenant au pirate : 0x2b63d4a3b2db8acbb2671ea7b16993077f1db5a0. Le transfert vers cette adresse a démarré à 15h14 (heure de Paris) avec un transfert en deux étapes : un premier transfert à 15h14 de 0,10 ETH (un test très certainement) et un second transfert du solde restant.

Temple DAO précise sur son compte Twitter officiel qu’un seul agent semble avoir été impliqué dans l’attaque informatique.

cryptonaute twitter

Des précautions ont été prises à court terme

L’équipe chargée du développement de l’organisation décentralisée affirme que toutes les précautions ont été prises pour que le problème n’impacte plus les utilisateurs de la plateforme. Par mesure de sécurité, l’application décentralisée a été désactivée pendant le temps de l’investigation. Les développeurs de Temple DAO invitent bien sûr les utilisateurs à s’abstenir de tout dépôt vers les contrats STAX jusqu’à nouvel ordre.

Une récompense légale pour le pirate

L’équipe chargée du développement offre une récompense légale au pirate pour qu’il restitue les fonds. On ignore encore, à ce stade, les détails concernant ce programme de récompense, mais à priori la DAO va initialiser, en partenariat avec la plateforme Binance, un programme de prime pour récompenser le hacker éthique. L’organisation va établir un canal de communication sécurisé si le pirate s’engage à restituer les fonds.

Une faille de sécurité incroyablement simple à exploiter !

Le piratage est plutôt bien rodé. Le pirate a exploité une faille de sécurité présente dans une fonction informatique de jalonnement dénommée : migrateStake.

Cette fonction présente dans le code informatique du contrat StaxLPStaking présente un défaut majeur. Elle ne prend que seulement deux paramètres en entrée : l’adresse du contrat (oldStaking) et le montant du transfert.

Une fonction qui présente donc une faille de sécurité majeure dans la mesure où elle ne vérifie pas que l’utilisateur à l’origine de la demande de transfert est bien le propriétaire du contrat ! Sans broncher, la fonction accepte donc n’importe quel contrat et y compris les contrats contrôlés par une clé publique/ privée dits EOA (Externally Owned Accounts).

Voici une vue d’ensemble de la fonction incriminée :

A partir d’un simple appel de cette fonction, un utilisateur peut migrer n’importe quel contrat de la plateforme. Cela est d’autant plus gênant que la fonction peut potentiellement être appelée par n’importe quel utilisateur et pas uniquement par le “migrateur” du contrat.

Une faille de sécurité présente depuis longtemps !

La fonction incriminée et sa simplicité d’utilisation laisse craindre le pire en matière de sécurité informatique. Le célèbre développeur et fondateur deFi / NFT : foobar (@0xfoobar) affirme que la faille de sécurité était déjà présente depuis plusieurs mois.

C’est également l’avis de l’agence Palladin spécialisée dans la sécurité informatique de la technologie Blockchain, qui affirme dans un tweet sur son compte officiel que la vulnérabilité était présente depuis l’origine :

On peut d’ailleurs se féliciter de la réactivité extraordinaire de cette agence dans la détection de cet incident. Il a fallu seulement une heure pour contacter la plateforme Binance ainsi que les développeurs de l’organisation décentralisée Temple DAO. Cette agence a clairement joué un rôle actif dans la détection et la résolution de cet incident.

L’agence fournit des informations précises sur la nature de cet incident sur son compte Twitter officiel qui permet de mieux comprendre la nature de l’attaque informatique par exploit.

Les utilisateurs impactés seront indemnisés !

Une bonne nouvelle néanmoins pour tous les utilisateurs impactés par ce piratage. L’organisation en charge de la gestion du DAO affirme que tous les utilisateurs seront indemnisés. Il ne reste plus qu’à espérer que la plateforme de gestion de cryptomonnaies Binance sera en mesure de retrouver la trace du hacker ou bien que celui-ci acceptera de simplement retourner le montant des fonds substitués en échange d’une récompense légale. À suivre donc !


À lire également :

Rejoignez notre groupe Telegram pour rester au courant des dernières nouvelles crypto en direct.
Ajoutez Cryptonaute à vos flux Google Actualités

Romaric Saint Aubert Crypto-journaliste

Romaric Saint Aubert Crypto-journaliste

Biographie

Romaric est journaliste pour Cryptonaute. Après un passage en faculté de lettres modernes, il s’oriente dans un domaine tout à fait différent, tout en gardant l’œil rivé sur les crypto et l’actualité de l’époque. Il investit alors dans son premier actif numérique : le bitcoin (BTC).

Majoritairement intéressé par Bitcoin, il s’est diversifié plus tard en se penchant également sur le web3, les NFT, les crypto-monnaies et la FinTech. Investisseur aguerri, il est capable d'orienter son entourage et ses lecteurs. Son expérience au sein de l’écosystème crypto et sur la blockchain lui permettent de proposer une actualité précise et experte à ses lecteurs, tout en gardant un recul et une objectivité indispensable à son activité.

Romaric se rend régulièrement en conférence ou à divers événements crypto dans toute l'Europe, notamment aux conférences Bitcoin, au Zebu Live ou aux événements relatifs à la blockchain. Fasciné par ce secteur en plein développement, il aime découvrir de nouveaux projets, apprécie l’innovation, et se laisse porter par son enthousiasme et sa curiosité.

Expertise

  • Bitcoin
  • Cybersécurité
  • Régulation cryptos

Accomplissements

  • Révélé un cas rare de cyberfraude
  • Rencontre avec de nombreux innovateurs de l’industrie
  • Participe à la création d’une équipe dédiée de journalistes

Publications

Éducation

  • Université Polytechnique des Hauts-de-France

Autres

  • Carte de presse FIJ n°1385
  • Journaliste indépendant

Suivez Romaric sur Twitter | LinkedIn

Recevez toute l'actualité crypto en direct sur Telegram
Rejoignez notre groupe Telegram