Le pont Shibarium frappé par une attaque de prêt flash de 2,4 millions de dollars

L'attaquant a obtenu le contrôle de deux tiers des validateurs en empruntant 4,6M BONE, drainant 2,4M $ en ETH et SHIB.

Des tokens KNINE d'une valeur de 700K $ ont été saisis mais ont été mis sur liste noire par le K9 Finance DAO, bloquant la liquidation.

Les développeurs ont suspendu le staking, sécurisé les clés des validateurs et fait appel à Hexens, Seal 911 et PeckShield pour l'enquête.

Le pont Shibarium, qui relie le réseau de couche 2 à Ethereum, a été violé vendredi lors d'une attaque par emprunt instantané qui a siphonné 2,4 millions de dollars d'actifs. Les développeurs de l'écosystème Shiba Inu ont déclaré que l'incident les avait contraints à suspendre le staking, le unstaking et les fonctions connexes pendant que les clés de validation étaient sécurisées.

Selon les ingénieurs du projet, l'attaquant a emprunté 4,6 millions de tokens BONE par le biais d'un prêt flash et a temporairement pris le contrôle de l'accès aux validateurs. En contrôlant dix des douze clés de signature des validateurs, l'attaquant a obtenu une majorité des deux tiers et a redirigé des fonds du contrat de pont. Les enregistrements montrent que 224,57 ETH et 92,6 milliards de SHIB ont été retirés, d'une valeur d'environ 2,4 millions de dollars.

Impact sur les jetons et les opérations des validateurs

Les développeurs ont confirmé que les tokens BONE empruntés étaient immédiatement verrouillés en raison de retards de staking, empêchant l'attaquant de maintenir son influence. Le prix de BONE a d'abord bondi alors que l'activité de trading a augmenté, mais a rapidement chuté à mesure que la nouvelle de l'exploitation se répandait.

L'incident a également impliqué le jeton de gouvernance de K9 Finance, KNINE. L'attaquant a acquis environ 700 000 $ de KNINE mais a été bloqué pour liquider les avoirs. Le DAO de K9 Finance a mis la wallet sur liste noire, rendant ces jetons invendables sur le marché ouvert.

Mesures d'urgence et enquête

Suite à la violation, les développeurs de Shiba Inu ont fait appel à des entreprises de sécurité externes, notamment Hexens, Seal 911 et PeckShield, pour analyser l'exploitation. Les enquêteurs examinent comment l'accès des validateurs a été manipulé et comment les protections ont échoué à empêcher les retraits non autorisés.

Kaal Dhairya, un développeur senior du système, a déclaré que l'opération de prêt flash était considérée comme très structurée et qu'elle avait peut-être été préparée des mois à l'avance. Il a confirmé que les agences d'application de la loi avaient été informées de l'incident. Les développeurs ont également indiqué une volonté de négocier avec l'attaquant si les fonds sont retournés, y compris la possibilité d'une prime.

L'incident souligne les risques persistants auxquels sont confrontés les ponts inter-chaînes et les structures de gouvernance basées sur des validateurs. Dans ce cas, le contrôle des clés des validateurs a permis une exécution rapide des retraits qui a submergé les défenses. Bien que des actions immédiates aient limité d'autres pertes, la violation démontre des vulnérabilités que les attaquants continuent d'exploiter à travers les systèmes décentralisés. Les développeurs ont déclaré que des mesures supplémentaires étaient mises en place pour protéger l'accès des validateurs et prévenir des attaques similaires à l'avenir. Les enquêtes se poursuivent alors que la communauté surveille si les fonds volés circulent à travers d'autres réseaux.