Après avoir découvert un bug, l’échange décentralisé Maiar est toujours en maintenance.
Une activité suspecte a été détectée par l’équipe de Maiar sur le DEX. Un attaquant s’est emparé d’environ 1,6 million d’EGLD.
Quel est ce hack ?
L’analyste Foudres.eth a tweeté un thread expliquant cette attaque. Il a détecté trois différentes adresses liées à ce hack. Ces trois portefeuilles ont vendu une énorme quantité d’EGLD et ont déployé un contrat intelligent qui leur a permis de retirer de 1,658 million EGLD.
D’après l’analyse de foudres.eth 820k sont restés dans le portefeuille, 800k ont été vendus et 38K ont été envoyés sur Binance ce qui fait un total de 1,658 million d’EGLD.
Les trois adresses ont commencé à vendre ses EGLD vers 22h08 le 6 juin, ce qui créa une chute vertigineuse du Token qui a perdu 92% de sa valeur en 38 min. L’équipe Maiar a stoppé toute activité sur le Dex et l’a mis en maintenance le plus vite possible.
Des solutions proposées par l’équipe d’Elrond
Beniamin Mincu a tweeté un thread expliquant le dérouler du bug et ce qu’ils ont fait pour le résoudre.
Tout d’abord, ils ont décidé d’initier un protocole d’urgence afin de mettre temporairement en pause l’échange et ainsi stopper le plus vite possible toutes activités suspectes.
Dans son thread tweeter, Beniamin explique que toute l’équipe a dû déterminer un ordre de priorité à mettre en place.
- Comprendre le problème, limiter les dommages et assurer la sécurité
- Définir une solution et un plan de reprise
- Exécuter la solution et le plan de reprise. Les activités reprendront seulement après que le plan de reprise sera correctement exécuté.
Après une analyse approfondie du bug, une première mise à jour d’urgence a été proposée et adoptée dans le but d’améliorer la sécurité du réseau et surtout de résoudre le bug.
Une deuxième mise à jour plus poussée a été proposée et adoptée pour préparer le réseau Elrond à un environnement d’exécution plus robuste.
Mais d’où vient ce bug ?
Nous ne savons toujours pas d’où vient ce 1,5 million d’EGLD. Ils ne peuvent pas venir d’un bridge car seuls les UTK et USDC peuvent être bridged. Nous attendons une explication technique de Benianim au sujet de ce bug.
Et pour la suite ?
Beniamin a assuré que tous les fonds seront disponibles dès le relancement du DEX prévu pour aujourd’hui. Il affirme que la plupart des fonds exploités ont soit été récupérés soit couverts par la fondation Elrond.
Sécuriser la Defi est un enjeu de taille
Les attaques Defi sont en hausse. De plus en plus de personnes s’intéressent à la finance décentralisée et donc aux échanges décentralisés. Problème, plus de monde s’y intéresse, plus il y a de fonds disponibles sur les échanges, plus d’hackeurs s’y intéressent également. Selon une étude, durant le premier trimestre 2022, plus de 1,6 milliard de dollars de crypto-monnaies ont été volés sur les plateformes d’échange décentralisées. Les sommes astronomiques de cryptomonnaies détenues par les systèmes Defi attirent évidemment les hackeurs. De plus, le système de protocole Defi open source permet également aux pirates de programmer leurs attaques grâce au code mis en libre accès.
C’est ainsi qu’il faut toujours bien sécuriser ses fonds et se renseigner sur la viabilité de la plateforme, si en cas de hack elle est susceptible de rembourser vos fonds volés et si elle est viable.
Ce n’est pas par ce que Maiar a subi un bug que c’est une plateforme non sécurisée. L’équipe a su réagir vite et à temps.
Beniamin a ajouté une étape supplémentaire qui assure les contrôles de vérification de tous les soldes sur le Maiar DEX & Bridge. De plus, Beniamin nous garantit que la configuration du démarrage du DEX garantira la synchronisation du prix de l’EGLD avec celui de Binance pour éviter tout déséquilibrage.