Alors que les attaques cryptographiques ont été importantes depuis l’émergence de l’industrie de la blockchain, les sociétés de sécurité de la blockchain travaillent dur pour apporter sécurité et transparence au secteur. Cette fois, BlockSec, une société d’audit de contrats intelligents spécialisée dans la construction d’infrastructures de sécurité, a empêché hacker de voler 5 millions de dollars de crypto-monnaie sur ParaSpace.
ParaSpace est un protocole de prêt décentralisé qui permet aux utilisateurs de prêter ou d’emprunter divers actifs cryptographiques sur la blockchain Ethereum. En plus de la plateforme permettant aux utilisateurs de prêter des NFT ou d’autres actifs pour recevoir un pourcentage sous forme d’intérêts, ParaSpace permet aux utilisateurs d’utiliser des fonds empruntés comme garantie.
Le vulnérabilité dans les règles de prêt de ce contrat intelligent a permis aux pirates d’emprunter des actifs avec moins de NFT que nécessaire en garantie, permettant à l’attaquant d’épuiser les règles de liquidité. Heureusement, l’opérateur a échoué lors de sa première tentative d’exécution de la transaction en raison de charges de gaz insuffisantes dont il dispose. Dans le même temps, la plate-forme d’audit de contrats intelligents BlockSec a découvert le piratage et a modifié le protocole à temps pour empêcher le pirate de casser l’actif cryptographique.
Abeerah Hashim, rédactrice en chef adjointe chez PrivacySavvy, un site Web de confiance en matière de cybersécurité, a sonné l’alarme lorsqu’un groupe d’éditeurs de cryptographie a tendu la main.
“Bien qu’il soit formidable de voir BlockSec empêcher cette attaque, il est important de noter que des vulnérabilités dans les systèmes de sécurité peuvent encore exister.” Alors que les cyber-attaquants continuent d’évoluer et de développer de nouvelles méthodes, il est important que les entreprises évaluent et mettent à jour régulièrement leurs mesures de sécurité pour garder une longueur d’avance sur les menaces potentielles.
ParaSpace a suspendu ses opérations après un piratage
Pour commenter l’incident, ParaSpace tweeté;
À côté de @BlockSecTeam ont identifié la cause de l’abus qui s’est produit plus tôt sur le protocole ParaSpace, et nous sommes soulagés de partager que tous les fonds et actifs des utilisateurs sur ParaSpace sont sûrs et sécurisés. Aucun NFT n’a été compromis et la perte financière de la réservation est minime.
ParaSpace a en outre noté que la plate-forme avait suspendu toutes les opérations jusqu’à ce qu’elle supprime les vulnérabilités identifiées par l’exploit. En d’autres termes, aucune transaction, retrait ou dépôt ne peut avoir lieu car l’équipe des contrats intelligents est actuellement en train de “réparer les vulnérabilités identifiées”.
Lei Wu, co-fondateur et directeur de la technologie chez BlockSec, a souligné que la fonction de sécurité interne surveillait automatiquement les transactions liées au piratage. Il a déclaré que la fonction de sécurité a la capacité d’empêcher les piratages en temps réel.
Le protocole de prêt NFT a expliqué que l’exploit a coûté au contrat intelligent une perte de 50 à 150 Ethereum parce que l’attaquant “a basculé entre les jetons pendant l’exploit.” Mais ParaSpace allouera ces fonds au contrat intelligent de sa propre poche pour l’annuler. a été perdu.
Fait intéressant, le pirate a laissé un message en chaîne après avoir échoué à voler les fonds, demandant à BlockSec de restituer une partie de l’argent qu’il a dépensé pour le piratage de ParaSpace. Il a écrit:
Je n’ai pas pu le faire fonctionner à cause d’une stupide erreur d’estimation de gaz. Comme j’ai perdu beaucoup d’argent en essayant de faire fonctionner cela, ce serait bien d’en récupérer au moins une partie… bonne chance,
BlockSec n’a pas économisé des fonds auprès des cybercriminels pour la première fois. La société de sécurité a récemment économisé 2,4 millions de dollars aux exploiteurs de Platypus Finance en février 2022. En avril 2022, elle a empêché les pirates de voler 3,8 millions de dollars à Saddle Finance.
Image sélectionnée de Pixabay et graphique de TradingView.com