Une offre de seulement 500 $ pour résoudre un piratage de 5 millions de dollars
Une équipe de sécurité dirigée par des pirates éthiques spécialisés dans les audits de sécurité a affirmé s’être vu offrir une prime de 500 $ par DxSale Network, une rampe de lancement de jetons décentralisée, après avoir informé la plate-forme d’une violation qui pourrait lui coûter plus de 5 millions de dollars.
La récompense est l’une des plus basses jamais offertes à un pirate informatique.
Récompense de 500 $ pour avoir économisé 5 millions de dollars
Decurity, dans un récent article de blog, a révélé que l’un de ses chercheurs, le 28 juin 2023, avait découvert un bogue dans un contrat intelligent non vérifié sur la chaîne intelligente Binance (BSC) appartenant à DxSale et s’était vu offrir une récompense de 500 $ pour ses efforts.
Selon le cabinet, les investigations ont révélé une logique contractuelle qui n’était pas suffisamment sécurisée pour empêcher les pirates de drainer les fonds enfermés dans le contrat lors d’une première offre décentralisée (IDO).
Selon des calculs, un total de 21 600 jetons WBNB (BNB emballés) dans les pools d’une valeur d’environ 5,2 millions de dollars au moment du rapport auraient pu être volés si les pirates avaient remarqué la vulnérabilité. Pendant ce temps, la société de sécurité a déclaré:
« Notez que ce chiffre reflète les pertes qui pourraient être infligées par un exploit qui cible une seule instance du contrat de verrouillage. Cependant, Dx a plus de contrats de verrouillage sur BSC et d’autres chaînes.
Mauvaise réponse présumée de DxSale
Decurity a affirmé avoir contacté DxSale après avoir confirmé le bogue, mais a déclaré avoir d’abord rencontré des frictions de la part de l’équipe du projet, qui ne répondait pas initialement, puis a prétendu être au courant du problème. Selon le billet de blog, l’équipe a déclaré que le contrat en question était inactif, ce qui signifiait qu’il ne constituait pas une menace.
Malgré la réponse initiale de DxSale, Decurity a déclaré avoir pu entrer en contact avec les fondateurs et développeurs de DxSale pour discuter de la situation.
Afin de corriger le bogue, les développeurs du projet ont décidé de fixer des frais de verrouillage élevés le 29 juin comme solution au problème pour décourager les attaquants d’effectuer une action. Selon Decurity, la solution pourrait dissuader les pirates, mais les propriétaires de DxSale pourraient drainer les fonds en cas de tirage potentiel.
Bien que l’équipe Dx ait tenté de démystifier les affirmations selon lesquelles les pirates pouvaient drainer des fonds, citant la protection de plusieurs partenaires d’audit, dont CertiK Skynet, le projet aurait décidé de fixer des frais élevés sur d’autres chaînes.
Decurity, quant à lui, a exprimé certaines inquiétudes quant à la réponse de DxSale aux menaces de sécurité potentielles, conseillant aux utilisateurs d’être prudents lorsqu’ils interagissent avec des projets sur le protocole.
Bien que DxSale n’ait pas répondu aux affirmations de Decurity, la rampe de lancement décentralisée a annoncé un Partenariat avec l’équipe de sécurité Vital Block Security le 18 juillet.