Terra subit davantage de turbulences en raison d'une faille de sécurité complexe, drainant 6,8 millions de dollars de la chaîne effrayée par la bataille.
Un pirate informatique exploite le correctif de sécurité obsolète de Terra pour créer des jetons à partir de rien.
Cela survient juste une semaine après que TerraForm Labs a annoncé un plan de remboursement.
La communauté de Terra identifie le coupable, mais les fonds drainés ont disparu depuis longtemps.
Les problèmes continuent de trouver la blockchain de Terra Luna, car la chaîne native de TerraForm Labs a été temporairement arrêtée au bloc 11430400 le 31 juillet 2024.
Cette mesure a été prise après que plusieurs plateformes de renseignement blockchain ont tiré la sonnette d’alarme concernant le drainage de plus de 6 millions de dollars d’actifs numériques, dont 60 millions de jetons ASTRO, natifs du protocole de liquidité d’Astroport sur la chaîne de Terra Luna.
Outre le propre jeton d'Astroport, un cercle de 3,5 millions USD (USDC), 500 000 Tether USD (USDT) et 2,7 Bitcoin (BTC) ont été drainés lors de l'incident.
L'incident de piratage, qui a causé des dommages de 6,8 millions de dollars, survient juste une semaine après que TerraForm Labs a publié un calendrier de réclamation pour perte cryptographique pour les investisseurs opprimés du fiasco Terra Luna de 2022.
Comment le pirate informatique de Terra a exploité le système obsolète
Selon Astroport, la vulnérabilité Inter-Blockchain Communication (IBC) du réseau a été reconnue en avril 2024.
ATTENTION
La chaîne Terra s'est arrêtée pour des mises à niveau d'urgence.https://t.co/1ClV5KahMO
Il semble qu'une vulnérabilité IBC ait été exploitée afin de créer plusieurs jetons sur la chaîne Terra, dont $ASTRO. Comme la chaîne est désormais arrêtée, aucun autre jeton ne peut être émis à ce moment-là…
– Astroport ✦ (@astroport_fi) 31 juillet 2024
Comme la nouvelle chaîne de Terra n'est pas corrigée, l'exploiteur a réussi à créer de nouveaux jetons sur Terra en utilisant un contrat d'appel IBC avec des hooks IBC et un délai d'attente.
L'analyse de la faille de sécurité par la société d'audit de sécurité blockchain Cyvers a souligné que bien que le problème soit connu du public depuis avril, le package de mise à niveau installé en juin 2024 sur Terra 2.0 l'a négligé, ouvrant ainsi la voie à une faille de sécurité.
Les pirates ont utilisé des transferts à petite échelle qui n'ont jamais dépassé 56 LUNA ou 7 800 USDC par transaction, mais ont quand même réussi à repartir avec une récolte de 6,8 millions de dollars.
Peu de temps après, le fraudeur a utilisé un pont inter-chaînes pour allouer les fonds volés à Ethereum et a échangé le butin de 6,8 millions de dollars contre de l'Ether (ETH).
Bien que la communauté de la chaîne Terra ait confirmé avoir identifié l’adresse cryptographique du coupable, la récupération de ces fonds numériques pourrait s’avérer impossible.
Le pirate informatique a utilisé un module tiers pour les contrats inter-chaînes et les transferts de jetons entre blockchains.
Une communauté pleine de regrets : cela aurait-il pu être évité ?
La communauté des détenteurs de Terra Luna a parlé du récent revers, car de nombreux passionnés de cryptographie ont exprimé leurs regrets quant à l'annulation de la mise à niveau liée à l'IBC lors de la mise à niveau de la chaîne de juin.
Si ce n’était pas la cause, l’incident de piratage aurait pu être évité, affirme Ethan Buchman, co-fondateur de Cosmos Chains.
https://twitter.com/buchmanster/status/1818635038260428982
"Malheureusement, ils utilisent un fork d'IBC, ce qui rend plus difficile la mise à jour et l'application des correctifs de sécurité", explique Buchman.
Le co-fondateur de Cosmos Chains fait référence au fork obsolète d'IBC-go 7.3.x, mis à jour pour la dernière fois en septembre 2023. Pour cette raison, Terra 2.0 a manqué le correctif critique qui aurait empêché le pirate informatique de frapper des jetons sur la blockchain de Terra Luna. de l'air mince.
"Il faut un effort à l'échelle de l'écosystème pour lancer autant de projets que possible", envisage Ethan Buchman. L’accident a énormément affecté la crypto-monnaie native de la chaîne, puisque LUNA est tombée à 0,369 $ le 1er août 2024.
L'exploit lié à Inter-Blockchain Communication (IBC) a affecté Terra 2.0 mais a manqué la chaîne Terra Luna Classic (LUNC) d'origine.
Genuine Labs, qui gère l'état de sécurité de Terra Luna Classic (LUNC), a mis en œuvre le correctif correspondant en mai 2024.
Résoudre les obstacles et appliquer des mises à niveau de chaîne en temps opportun pourrait empêcher les failles de sécurité dues à un code vulnérable.
