Le réseau Ronin de blockchain de jeu a subi un incident de sécurité hier lorsque des pirates informatiques au chapeau blanc ont exploité une vulnérabilité non documentée sur le pont Ronin pour retirer 4 000 ETH et 2 millions d’USDC, pour un total de 12 millions de dollars.

Ce chiffre correspond au montant maximum d’ETH et d’USDC pouvant être retirés du pont via une seule transaction, de sorte que cette mesure de sécurité critique a empêché le vol de chiffres potentiellement astronomiques.

Les pirates au chapeau blanc ont informé le réseau Ronin d’un exploit sur le pont alors qu’ils effectuaient leur démonstration d’attaque. Après vérification, le pont a été interrompu pendant 40 minutes.

Bien qu’un post-mortem détaillé soit publié la semaine prochaine, Ronin peut dire que la cause de l’exploit était une récente mise à jour du pont déployée via le processus de gouvernance, qui a introduit une faille de sécurité.

La faille a amené le pont à mal interpréter le seuil de vote requis des exploitants de ponts nécessaires pour autoriser les retraits de fonds, permettant à des acteurs non autorisés d’effectuer des actions dommageables.

L’équipe du réseau Ronin travaille à la résolution de la cause profonde et a déclaré que le correctif fera l’objet d’audits approfondis avant d’être voté et déployé par les opérateurs du pont pour s’assurer que des incidents similaires ne se reproduiront pas.

Le pont restera en pause et subira des contrôles intensifs avant de rouvrir. Dans le même temps, le réseau Ronin a annoncé que la structure actuelle serait abandonnée pour une nouvelle solution développée avec des validateurs Ronin.

Pendant ce temps, les chapeaux blancs ont entièrement restitué les fonds volés et recevront une généreuse prime de 500 000 $pour leur « audit forcé ». »

Ronin avait précédemment annoncé que même si les pirates ne répondaient pas positivement et conservaient les montants volés, tous les fonds des utilisateurs seraient garantis et toutes les pertes seraient entièrement remboursées.

On ne sait pas si les « chercheurs » ont exploité le bogue avant ou après avoir informé Ronin de la faille et s’ils ont exigé une prime de bogue pour rembourser l’argent. Breachtrace a contacté Ronin, mais nos courriels sont restés sans réponse.

Manquements précédents du pont Ronin
Le pont réseau Ronin d’Axie Infinity avait déjà été piraté en mars 2022 dans le cadre du plus grand braquage de crypto de l’histoire moderne, entraînant la perte de 625 000 000 $de crypto-monnaie.

Il a été révélé plus tard que le piratage avait été effectué par le célèbre pirate informatique nord-coréen « Lazarus Group », qui avait utilisé son schéma typique d’ingénierie sociale pour les faux entretiens d’embauche pour obtenir un accès initial privilégié aux systèmes cibles.

Dans ce cas, aucun montant n’a été restitué par les pirates, mais les autorités répressives ont récupéré 30 millions de dollars en septembre 2022 et 5,8 millions de dollars supplémentaires en février 2023.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *