paint-brush
Clés privées compromises : cibles principales et solutions à venirpar@hackless
13,916 lectures
13,916 lectures

Clés privées compromises : cibles principales et solutions à venir

par Hackless5m2023/02/15
Read on Terminal Reader

Trop long; Pour lire

Les clés privées compromises peuvent entraîner de graves pertes à tous les niveaux de DeFi. Cela peut arriver à n'importe qui, c'est pourquoi tout le monde dans DeFi doit être conscient de l'ampleur du problème et des solutions disponibles. Chez Hackless, nous concevons un produit appelé Wallet Rescue - une solution qui s'avère pratique lorsqu'un portefeuille crypto est piraté.
featured image - Clés privées compromises : cibles principales et solutions à venir
Hackless HackerNoon profile picture

Les clés privées compromises peuvent entraîner de graves pertes à tous les niveaux de DeFi et pour toutes sortes de clients - baleines, développeurs et utilisateurs généraux. Toute personne impliquée dans Defi peut traiter ce problème. C'est pourquoi les organisations et les mécènes individuels doivent être conscients de l'ampleur du problème et des solutions disponibles.

Chez Hackless, nous concevons un produit appelé Wallet Rescue - une solution qui s'avère pratique lorsqu'un portefeuille crypto est piraté et que vous devez migrer des fonds en toute sécurité vers une adresse nouvellement créée.

Pourquoi cette solution est-elle nécessaire et qui peut en bénéficier ?

En examinant de plus près les piratages récents qui se sont produits en relation avec les portefeuilles cryptographiques, nous avons remarqué que la principale cause est toujours les clés privées compromises - du portefeuille chaud de la plate-forme, de la clé de l'administrateur ou de la clé de l'utilisateur individuel. Nous plongeons plus profondément dans ce type d'exploit et comment le prochain Wallet Rescue de Hackless peut être utile ! Tout d'abord, jetons un coup d'œil à quelques récits édifiants.

Projets DeFi piratés via des clés privées compromises

1. Réseau Ronin, 624 millions de dollars

Dans l'un des plus grands piratages de l'histoire de la cryptographie, l'exploit Ronin, les clés de 5 des 9 validateurs ont été compromises. Cela a été découvert lorsqu'un client a tenté d'effectuer un retrait légitime. Comme l'a annoncé l'équipe, un attaquant avait acquis la propriété des clés privées nécessaires pour authentifier les transactions. Les mauvais acteurs avaient réussi à voler 173 600 ETH et 25,5 millions USDC dans leurs portefeuilles.

2. Pont Harmony, 100 millions de dollars

Le pont Harmony a été vidé de 100 millions de dollars via des clés privées compromises de leur multisig . Le pont n'avait besoin que de deux comptes de validation pour approuver les transactions. Les pirates ont réussi à compromettre les clés privées et ont pu approuver le transfert de fonds sur leurs comptes.

3. Raydium, 4,4 millions de dollars

Ce DEX a perdu 4,4 millions de dollars en crypto, victime d'un attaquant qui a réussi à exploiter une vulnérabilité de contrat intelligent qui a permis aux administrateurs de retirer des pools de liquidités entiers. L'attaquant a pris le contrôle d'une clé privée de pool d'administrateurs et a vidé des pools LP sans même avoir de jetons LP. L'équipe ne sait pas exactement comment cette clé privée a été obtenue, mais elle suppose qu'un programme cheval de Troie a infecté la machine virtuelle qui détenait la clé.

Projets DeFi avec les clés privées des utilisateurs exposées

1.Wintermute, 160 millions de dollars

Le teneur de marché, Wintermute, a perdu 160 millions de dollars pour de bon, car son portefeuille chaud a été compromis via une adresse personnalisée créée avec Profanity. Le portefeuille chaud de Wintermute et le contrat de coffre-fort DeFi semblent avoir des adresses de vanité Profanity. La clé privée du hot wallet a probablement été exploitée et utilisée pour vider le coffre-fort. Alors que la faille de sécurité des adresses générées par Profanity était connue de la communauté depuis un certain temps, il semble que cela n'ait pas été pris au sérieux.

2. Portefeuille Slope, 6 millions de dollars

L'énorme piratage d'un portefeuille mobile basé sur Solana, Slope, a touché plus de 8 000 portefeuilles uniques et a entraîné la perte de 6 millions de dollars. Il s'est avéré que les informations de clé privée des utilisateurs ont été transmises par inadvertance à un service de surveillance d'application Slope, ce qui a entraîné une exposition.

Les développeurs de baleines et de blockchain ne sont pas à l'abri

Alors que les protocoles DeFi et les administrateurs de projet sont les principales victimes des pirates, les utilisateurs de crypto de haut niveau comme les baleines et même les développeurs de blockchain sont également des cibles. Pourquoi pas en effet ? Parfois, la récompense peut être une somme d'argent forfaitaire, comme dans les cas décrits ci-dessous.

1.Développeur Bitcoin, 3,6 millions de dollars

Même un développeur Bitcoin peut avoir du mal à garder les clés en sécurité. C'est ce qui est arrivé à Luke Dashjr, l'un des premiers développeurs de Bitcoin. Il a perdu 3,6 millions de dollars en BTC en raison d'un piratage de clé. Dashjr a tweeté que sa clé PGP était compromise et qu'il n'avait aucune idée de comment tout cela s'était passé.

2. Baleine GMX, 3,5 millions de dollars

Les pirates ont pris le contrôle de 82 519 jetons GMX qui appartenaient à un détenteur de jetons de haut niveau. Une enquête plus approfondie a déterminé qu'un seul compte avait été touché, ce qui fait que la cause probable du vol était une clé privée compromise.

 If DeFi teams and advanced crypto investors cannot secure their assets, does the general public have any hope?

Les utilisateurs réguliers de DeFi sont toujours sur le radar du pirate

Les pirates ont normalement tendance à attaquer des portefeuilles plus importants, mais les individus sont également des cibles. Voyons quelles approches et tactiques les pirates inventent pour compromettre les portefeuilles des utilisateurs individuels :

  • Airdrops malveillants - les utilisateurs reçoivent un e-mail, un SMS ou un message sur les réseaux sociaux indiquant qu'une certaine pièce a été ajoutée à leur portefeuille via un airdrop. Ensuite, il leur est demandé de connecter leur adresse de portefeuille au site Web d'un attaquant. Une fois connectés, tous leurs fonds sont épuisés.
  • Hameçonnage de phrase de départ - les utilisateurs sont souvent menacés de suspension de compte et invités à fournir leurs phrases de départ dans le cadre de la vérification du compte ou du processus de récupération.
  • Ice phishing - ce type de schéma de détournement de clic incite les utilisateurs à déléguer l'approbation de la pièce de monnaie de l'utilisateur à un mauvais acteur. Souvent, les attaquants modifient l'interface utilisateur du contrat intelligent en y injectant un script malveillant.
  • Courriels, sites Web et messages malveillants - des sites Web clonés, des comptes de médias sociaux et des courriels frauduleux apparaissent chaque jour, trompant les utilisateurs en diffusant de fausses nouvelles et les induisant en erreur par des promotions et des campagnes frauduleuses.

Que faire si un portefeuille crypto doit être sauvé ?

Lorsqu'un protocole DeFi ou un portefeuille individuel est piraté, l'attaquant le surveille de près. Cela signifie qu'ils voient toutes les activités que vous pourriez entreprendre avec le portefeuille. De plus, s'ils comprennent qu'ils ont été découverts, ils peuvent alors ajuster leur technologie pour rendre leur attaque encore plus efficace.

Mais que se passe-t-il si vous avez des mises ou des pièces acquises liées à ce portefeuille et que vous souhaitez les transférer ? Wallet Rescue by Hackless entre alors en jeu. Auparavant connu sous le nom de Conductor , Wallet Rescue s'est déjà avéré efficace pour certains de nos clients, les ayant aidés à économiser environ 700 000 $ en crypto.

Avec Wallet Rescue, vous pourrez migrer en toute sécurité les actifs du portefeuille piraté d'une manière invisible pour un pirate. Cela peut être fait via une capacité de minage privée dans les étapes suivantes :

  1. Créez un ensemble de transactions pour le minage privé.
  2. Simulez ces transactions pour vous assurer que tout se passera bien.
  3. Envoyez en privé un ensemble de transactions précédemment créées, simulées et signées directement aux mineurs via des fournisseurs de confiance.

 First and foremost – Hackless does not have any access to assets of the protocol's users or their private keys.

Wallet Rescue est un outil intuitif pratique que tout investisseur en crypto peut utiliser par lui-même. L'application ne reçoit que les transactions signées des utilisateurs et des propriétaires de protocole, puis les envoie au minage privé pour assurer l'exécution des transactions en un seul bloc. Mais la propriété est à vous.

Wallet Rescue bientôt disponible en version bêta

Notre équipe termine avec l'application Web Wallet Rescue, qui sera bientôt disponible pour les premiers bêta-testeurs. Et vous pouvez être l'un d'entre eux. Tout ce que vous avez à faire est de remplir un formulaire d'utilisateur bêta et nous vous contacterons une fois que nous serons en ligne avec le produit.