L’attaquant d’El Dorado Exchange rapporte plus de 400 000 $ après que l’équipe a admis des vulnérabilités de code
Un attaquant ciblant le protocole DeFi El Dorado Exchange (EDE Finance) a restitué plus de 400 000 $ d’USDC et d’USDT après que le projet a admis avoir pris une « décision malavisée de manipuler le prix ».
Plus tôt dans la journée, le protocole d’échange décentralisé (DEX) a été exploité pour environ 580 000 $, selon la société de sécurité Peckshield, spécialisée dans la surveillance et l’analyse des activités suspectes sur les réseaux blockchain
Suite à la nouvelle, le jeton EDE était en baisse de 14 % à 0,5767 $, au moment de la rédaction, selon les données de CoinMarketCap.
Comment EDE a été exploité
Une analyse du 30 mai de Numen Cyber Labs a montré que l’attaquant avait manipulé les prix des jetons sur le DEX.
L’attaquant a exploité une fonction dans le contrat Oracle à source fermée du protocole après avoir appelé la fonction « func_147d9322 ». Selon Numen Cyber Labs, ces actions ont permis à l’attaquant de manipuler les prix des jetons et d’exploiter efficacement le projet.
Pendant ce temps, l’auditeur du projet, LunaraySEC, a déclaré que les vulnérabilités exploitées n’entraient pas dans le cadre de son audit initial, ajouter que l’équipe EDE Finance a « identifié et résolu » le problème.
L’attaquant d’EDE empoche 100 000 $
Les données en chaîne montrent que l’attaquant DEX a gagné 104 000 $ après avoir restitué 86 222 USDT et 333 948 USDC des fonds volés.
Selon les messages en chaîne, l’attaquant a allégué que l’équipe du projet avait inséré une porte dérobée qui leur aurait permis de liquider leurs utilisateurs et de voler leurs fonds.
« Les développeurs ont mis en place une porte dérobée qui leur a permis de forcer la liquidation de toute position qu’ils souhaitaient. Cette activité malveillante impliquait de signer intentionnellement des prix incorrects pour manipuler les positions des utilisateurs et voler leurs fonds. Pour arrêter cette attaque contre les utilisateurs, un chapeau blanc a été lancé pour mettre ce problème en lumière.
L’attaquant a écrit que si l’équipe admettait cette activité malveillante, elle restituerait les fonds et « mettrait en lumière les vulnérabilités supplémentaires qui existent ».
L’équipe EDE affirme que le contrat malveillant visait à mettre les exploiteurs sur liste noire
Tout en admettant les allégations, l’équipe EDE a déclaré que son « intention était de mettre sur liste noire ceux qui avaient précédemment exploité le système ». Il a ajouté :
« Nous n’avons pas cherché à détourner les fonds des utilisateurs car cela laisserait un enregistrement traçable. Nous supprimerons rapidement le contrat de bombe problématique.
De plus, le protocole offrait à l’attaquant 5 % de l’allocation de jetons de son équipe en guise de gratitude pour avoir signalé les autres vulnérabilités. Cependant, l’offre est soumise à la période d’acquisition de l’équipe.
L’attaquant post El Dorado Exchange rapporte plus de 400 000 $ après que l’équipe a admis que les vulnérabilités du code sont apparues en premier sur CryptoSlate.