Indexed Finance, un projet basé sur Ethereum qui a subi un piratage de 16 millions de dollars en 2021, a déjoué avec succès deux tentatives de détournement. Le contrôle de l’organisation autonome décentralisée (DAO) du projet sera restitué à ses fondateurs, qui visent à allouer le trésor restant aux victimes du piratage de 2021.
Dans un fil sur X (anciennement Twitter), Laurence Day, un ancien contributeur principal, a détaillé les efforts de la communauté Indexed pour surmonter deux tentatives de piratage de la trésorerie restante du DAO Indexed. Les deux attaquants ont acquis des quantités importantes de jetons NDX du protocole et visaient à prendre le contrôle du DAO. environ 120 000 $ de actifs numériques détenus grâce à des propositions malveillantes.
La proposition initiale, dépourvue de titre ou de description dans un effort apparent pour éviter d’être détectée, a été contrecarré alors que Day et d’autres membres de la communauté ont mobilisé le DAO indexé pour voter contre lui. La proposition de l’attaquant a été proche de l’approbation en une heure, mais suffisamment de « non » ont été exprimés pour empêcher son adoption.
D’accord, voici ce qui vient d’arriver au DAO indexé
L’épave peut être vue dans le panneau Tally ci-dessous
C’est un long fil, mais je veux l’enregistrer quelque part pic.twitter.com/wRTRZZcwhm
— Laurence, soutenue par Paradigme (@functi0nZer0) 25 novembre 2023
Cependant, comme l’équipe d’Indexed a dû coordonner ouvertement les votes contre la proposition, Day a anticipé la possibilité d’une attaque par copie. De plus, comme Day détaillé dans son fil de discussion, une vulnérabilité supplémentaire pourrait mettre en péril les fonds au-delà de la trésorerie du DAO s’ils se retrouvaient sous un contrôle hostile.
Pour atténuer la menace d’une attaque ultérieure, l’Indexed DAO a approuvé une proposition de « pilule empoisonnée », lui accordant le pouvoir de brûler les fonds restants du Trésor si nécessaire pour dissuader les attaquants potentiels.
En rapport: Azuki DAO devient « Bean » et abandonne le procès contre son fondateur
Lors de la deuxième attaque prévue, l’agresseur a d’abord cherché à négocier 50 % du trésor restant, comme révélé dans les messages en chaîne. Le fondateur d’Indexed, Dillon Kellar, a répondu en proposant 10 000 $ de Dai (DAI) et a mis en garde contre l’incendie de l’intégralité du trésor si l’attaquant refusait.
Alors qu’il ne restait que quatre heures avant l’ultimatum de Kellar, et suite à une tentative de contre-négociation pour 17 000 $, l’attaquant a accepté l’offre initiale et a retiré sa proposition malveillante. L’autorité sur le DAO reviendra désormais à un multisig contrôlé par Day, Kellar et le co-fondateur pseudonyme PR0, avec des plans pour indemniser les victimes du piratage de 2021 en utilisant les fonds restants du Trésor.
Revue: Les DAO sont-ils surfaits et irréalisables ? Les leçons du front