IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Solana et Phantom accusent Slope après le vol de millions de cryptomonnaies dans 8000 portefeuilles
Les portefeuilles Slope mis en cause dans l'attaque des portefeuilles basés sur Solana

Le , par Nancy Rey

184PARTAGES

6  0 
Alors que la tempête qui s'est abattue il ya peu sur l'écosystème Solana s'estompe, des données indiquent que le fournisseur de portefeuilles Slope est en grande partie responsable de l'exploit de sécurité qui a permis de voler des cryptomonnaies à des milliers d'utilisateurs de Solana. Slope est un fournisseur de porte-monnaie Web3 pour la blockchain Solana layer-1. Par le biais du compte Twitter Solana Status mercredi, la Fondation Solana a pointé du doigt Slope, déclarant « qu'il semble que les adresses affectées aient été à un moment donné créées, importées ou utilisées dans les applications de portefeuille mobile Slope ».


Des millions de dollars de cryptomonnaie Solana et d'autres jetons ont été dérobés à des milliers de citoyens cette semaine par des voleurs qui ont exploité une sorte de faiblesse ou d'erreur de sécurité. Les détails sont encore légers, entre 4,5 et 8 millions de dollars en pièces (y compris les monnaies stables USDC et USDT, et le SOL de Solana) ont été volés dans environ 8 000 portefeuilles d'applications mobiles Slope et Phantom.

Slope propose des applications Android et iOS qui servent de portefeuilles pour les cryptoactifs des utilisateurs, leur permettant d'envoyer et de recevoir des pièces. Elle est principalement destinée à l'écosystème Solana. Depuis mardi, des malfaiteurs ont siphonné des fonds à une échelle quasi industrielle à partir des portefeuilles mobiles Slope.

Phantom, quant à lui, propose également un portefeuille mobile axé sur Solana pour Android et iOS. Des pièces ont été extraites des portefeuilles mobiles de certains de ses utilisateurs, mais la majorité des fonds volés provenaient de portefeuilles Slope. Phantom a pointé un doigt accusateur vers Slope, suggérant qu'une faille dans sa technologie ou ses processus a permis à certains portefeuilles Phantom d'être vidés. « Phantom a des raisons de croire que les exploits signalés sont dus à des complications liées à l'importation de comptes vers et depuis Slope. Nous travaillons toujours activement pour identifier si d'autres vulnérabilités ont pu contribuer à cet incident », a-t-il déclaré mercredi.

Phantom n'est pas le seul à blâmer Slope. La Fondation Solana, qui pilote le développement de la cryptomonnaie, a déclaré mercredi « qu'après une enquête menée par les développeurs, les équipes de l'écosystème et les auditeurs de sécurité, il apparaît que les adresses affectées ont été à un moment donné créées, importées ou utilisées dans les applications de portefeuille mobile Slope. Les portefeuilles matériels utilisés par Slope restent sécurisés. Bien que les détails de la façon exacte dont cela s'est produit soient encore en cours d'investigation, des informations sur les clés privées ont été transmises par inadvertance à un service de surveillance des applications. Il n'y a aucune preuve que le protocole Solana ou sa cryptographie aient été compromis ».

Essentiellement, la fondation affirme que les informations de la clé privée des portefeuilles Slope des personnes et des portefeuilles gérés par Slope à un moment donné ont été divulguées dans la nature, et celles-ci ont été saisies et utilisées par des escrocs pour détourner ces fonds et les transférer. On suppose que les formules mnémoniques des portefeuilles des utilisateurs ont pu être envoyées par les applications dans des journaux d'événements à un service Sentry. Si c'est le cas, quelqu'un qui a eu accès à ce service de journalisation aurait pu obtenir les phrases, qui peuvent être utilisées pour ouvrir les portefeuilles des utilisateurs.

Comme l'explique la documentation de Slope, « une formule mnémonique, une graine mnémonique ou une phrase de graine sont définies comme un groupe secret de mots qui représentent un portefeuille. Lorsqu'ils sont utilisés dans la séquence, ils permettent d'accéder aux cryptomonnaies qui y sont stockées… Votre formule doit rester secrète, toute personne qui la découvre peut voler vos cryptomonnaies ».

La Fondation Solana avait auparavant déclaré : « Des ingénieurs de plusieurs écosystèmes, en collaboration avec des sociétés d'audit et de sécurité, continuent d'enquêter sur la cause profonde d'un incident qui a entraîné le drainage d'environ 8 000 portefeuilles… Il ne semble pas s'agir d'un bug du code central de Solana, mais d'un logiciel utilisé par plusieurs portefeuilles logiciels populaires parmi les utilisateurs du réseau ».

Slope, quant à lui, a publié une déclaration, confirmant « qu'"une cohorte de portefeuilles Slope a été compromise ». « Nous avons quelques hypothèses quant à la nature de la brèche, mais rien n'est encore ferme. Nous ressentons la douleur de la communauté, et nous n'étions pas immunisés. Les portefeuilles de plusieurs de nos propres employés et fondateurs ont été vidés », a-t-il ajouté.

Bien que les clés des portefeuilles matériels « n'aient pas été compromises », selon Slope, le fournisseur de portefeuilles a exhorté tous ses utilisateurs à « créer un nouveau portefeuille de phrase de départ unique, et à transférer tous les actifs vers ce nouveau portefeuille. Encore une fois, nous ne recommandons pas d'utiliser la même phrase d'amorçage sur ce nouveau portefeuille que celle que vous aviez sur Slope », a ajouté l'organisme.

Solana fournit une blockchain relativement rapide dont le jeton numérique SOL se classe parmi les plus grandes cryptomonnaies. Solana a refusé de chiffrer le montant des jetons volés, bien que des sociétés d'analyse et des chercheurs tiers aient estimé que les pertes allaient de 4,5 millions de dollars à au moins 5,8 millions de dollars, voire jusqu'à 8 millions de dollars. Mais même pour les utilisateurs dont les jetons n'ont pas été dérobés lors de l'attaque, cette bévue a fait chuter la valeur de SOL au cours d'une semaine où les coups d'éclat se succèdent pour les amateurs de cryptomonnaies et les organisations.

La faille de sécurité de Slope est survenue un jour après qu'un piratage « chaotique » ait touché le service de pont Nomad, entraînant une perte d'environ 200 millions de dollars dans ce qui a été décrit comme un « pillage de foule décentralisé ». Et lundi, suite à une amende de 30 millions de dollars pour avoir enfreint la réglementation new-yorkaise en matière de lutte contre le blanchiment d'argent et de cybersécurité, le PDG de Robinhood, Vlad Tenev, a annoncé qu'il réduisait son personnel de 23 %, soit environ 900 personnes.

Source : Twitter (1, 2), Slope (1, 2)

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

L'écosystème Solana victime d'un piratage qui siphonne 8000 portefeuilles dynamiques des millions en cryptomonnaies, l'attaque affecte les portefeuilles connectés à Internet sur iOS et Android

Un expert en cybersécurité reçoit 2 millions de dollars pour avoir corrigé une faille majeure sur Optimism qui aurait permis une création illégale et continue de jetons ETH

Qubit Finance se fait voler 80 millions de dollars en crypto et propose une prime de 250 000 dollars au hacker, en échange des fonds volés

Un hacker a volé plus de 600 millions de dollars à Ronin, la blockchain derrière le jeu NFT Axie Infinity, ce qui en fait la plus grande attaque contre une plateforme de finance décentralisée

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de el_slapper
Expert éminent sénior https://www.developpez.com
Le 05/08/2022 à 15:12
Citation Envoyé par Arya Nawel Voir le message
Nous avons besoin d'une sorte d'autorité centralisée pour garantir la valeur de ces monnaies et intervenir pour protéger les consommateurs lorsque les choses tournent mal.
Ah mais tu n'as pas compris : ces monnaies sont spécifiquement conçues pour être non régulées. Parce que la régulation, c'est la mort de la liberté. D'ailleurs, le principal argument de vente, c'est que c'est inviolable. Pourquoi veux tu réguler une monnaie inviolable?

(bon, j'ai peut-être un peu forcé sur le sarcasme, moi)
1  0