L’échange décentralisé KyberSwap a offert une prime de 10 % au pirate informatique qui a volé 46 millions de dollars le 22 novembre et laissé une note de négociation. L’échange souhaite que 90 % du butin soit restitué avant 6 heures du matin UTC le 25 novembre.
Le 23 novembre, KyberSwap a alerté les utilisateurs que sa solution de liquidité, KyberSwap Elastic, était compromise et leur a conseillé de retirer leurs fonds. Entre-temps, le 22 novembre, le pirate informatique a emporté environ 20 millions de dollars en Wrapped Ether (wETH), 7 millions de dollars en Wrapped Ether Lido-stake (wstETH) et 4 millions de dollars en jetons Arbitrum (ARB). Le pirate informatique a ensuite siphonné le butin sur plusieurs chaînes, notamment Arbitrum, Optimism, Ethereum, Polygon et Base.
Après avoir caché les fonds volés, le pirate informatique a écrit un message en chaîne message adressé aux développeurs, aux employés, aux membres d’organisations autonomes décentralisées et aux fournisseurs de liquidité de KyberSwap, déclarant : « Les négociations commenceront dans quelques heures lorsque je serai complètement reposé. »
Après une journée de silence des deux côtés, KyberSwap a répondu au pirate informatique en demandant la restitution de 90 % des fonds volés. L’équipe a reconnu les compétences du hacker et a formulé une offre :
« Sur la table se trouve une prime équivalente à 10 % des fonds des utilisateurs retirés par votre hack, pour le retour en toute sécurité de tous les fonds des utilisateurs. Mais nous savons tous les deux comment cela fonctionne, alors allons droit au but afin que vous et ces utilisateurs puissiez tous continuer votre vie.
Si le pirate informatique ne parvient pas à rembourser ou à répondre à KyberSwap avant 6 heures du matin UTC, le 25 novembre, « vous restez en fuite », a déclaré KyberSwap. L’équipe est ouverte à de nouvelles discussions avec le pirate informatique par e-mail.
En rapport: KyberSwap annonce une vulnérabilité potentielle et demande aux LP de se retirer dès que possible
Une analyse du récent piratage de KyberSwap par un expert en finance décentralisée (DeFi) suggère que l’attaquant a utilisé un « problème d’argent infini » pour drainer des fonds.
Le fondateur d’Ambient Exchange, Doug Colkitt, a expliqué que l’attaquant de KyberSwap s’est appuyé sur un « exploit de contrat intelligent complexe et soigneusement conçu » pour mener l’attaque.
1/ J’ai terminé une plongée préliminaire en profondeur dans l’exploit Kyber, et je pense avoir maintenant une assez bonne compréhension de ce qui s’est passé.
Il s’agit de loin de l’exploit de contrat intelligent le plus complexe et le plus soigneusement conçu que j’ai jamais vu…
– Doug Colkitt (@0xdoug) 23 novembre 2023
L’attaquant a ensuite répété cet exploit contre d’autres pools Kyberswap sur plusieurs réseaux, pour finalement s’en sortir avec 46 millions de dollars de butin cryptographique.
Revue: C’est votre cerveau sur la crypto : la toxicomanie se développe parmi les traders de crypto