Le piratage de 8 millions de Vericoin entraîne un hard fork pour récupérer les fonds

La plateforme d'échange de devises numériques MintPal a subi une attaque de piratage réussie qui a entraîné la perte de millions de vericoins de son portefeuille HOT .

L'attaque du 13 juillet visait une vulnérabilité du système de retrait du site. Le pirate, selon un communiqué officiel deMintPal, a pu contourner les contrôles internes et autoriser une Request de retrait du contenu du véricoin portefeuille.

Notamment, le Bitcoin du site et LitecoinLes portefeuilles ont également été ciblés par les auteurs de l'attaque. Cependant, grâce aux procédures de stockage à froid de MintPal pour ces portefeuilles, les soldes des utilisateurs n'ont pas été affectés par l'incident.

Ce résultat est potentiellement encourageant car les vulnérabilités des portefeuilles HOT ont été un problème persistant parmi les principaux échanges de Bitcoin cette année, l'échange de Bitcoin Mt. Gox, basé au Japon, fournissant peut-être l'exemple le plus remarquable de la manière dont les portefeuilles connectés peuvent être ciblés par les pirates.

MintPal est une plateforme d'échange de devises numériques alternative enregistrée au Royaume-Uni qui négocie des Bitcoin, des Litecoin et des devises alternatives populaires telles que le vericoin et pièce sombre.

La réponse controversée de Vericoin

La violation a entraîné la perte d'environ 8 millions de vericoins (VRC), soit environ 30 % du total des pièces existantes, a déclaré un membre de l'équipe de développement de vericoin à CoinDesk.

Compte tenu de l'ampleur des dégâts, l'équipe de développement de Vericoin a choisi de créer un hard fork de la blockchain afin d'annuler la transaction volée. Cette opération, selon eux, visait à la fois à éviter la perte d'environ 2 millions de dollars de fonds d'investisseurs et à empêcher un acteur frauduleux de détenir 30 % de la capacité du réseau de preuve d'enjeu de la cryptomonnaie.

Le fork est désormais terminé, avec de nouveaux portefeuilles désormais disponibles en téléchargement, a déclaré l'équipe de développement de Vericoin à CoinDesk.

Dans un communiqué, l'équipe MintPal s'est engagée à récupérer toutes les pertes causées par l'attaque, y compris celles des autres plateformes d'échange touchées par l'événement, en déclarant :

« Les conséquences les plus importantes de ce retour en arrière concernent les différentes plateformes d'échange qui ont accepté des dépôts de clients et ont ensuite exécuté des transactions sur ces dépôts. Nous nous sommes engagés envers nos clients et toutes les plateformes d'échange à couvrir toute perte résultant de ce retour en arrière. »

CoinDesk a contacté MintPal pour un commentaire mais n'a pas reçu de réponse immédiate.

Anatomie d'une attaque d'échange

L'attaque a eu lieu vers 7 heures du matin BST et a utilisé uninjection SQLPour initialiser le retrait du portefeuille. Six heures plus tard, l'équipe de développement de MintPal a contacté l'équipe Vericoin, après quoi une solution – finalement un hard fork – a été recherchée et trouvée.

Selon MintPal, seul le portefeuille Vericoin a été touché par l'attaque. Cela inclut la base de données contenant les informations sensibles des clients et leurs mots de passe.

La société a déclaré qu'un manque de sécurisation des soldes de vericoin des clients dans le stockage à froid a conduit à la vulnérabilité, en déclarant :

« Nous avions configuré un stockage à froid pour VRC, mais dans ce cas, en raison d'une erreur dont nous seuls pouvons être responsables, nous avons transféré beaucoup moins de pièces que nécessaire, ce qui a laissé une grande proportion de pièces dans le portefeuille HOT . »

MintPal a ajouté que les procédures de l'entreprise ont été modifiées pour inclure des protocoles de stockage à froid plus stricts ainsi que l'institution d'autorisations de retrait manuelles jusqu'à ce que le système soit nettoyé de toutes les vulnérabilités.

Pièces volées restituées

Une première tentative de restauration de la chaîne de blocs pour inverser le vol de vericoin a été lancée dans les heures qui ont suivi l'attaque, ce qui impliquait de recréer la chaîne de blocs d'origine sans le retrait de MintPal.

Cependant, selon le développeur de Vericoin, Patrick Nosker, les anciens clients qui diffusaient la transaction ont conduit le réseau à l'approuver par erreur, permettant au pirate de recevoir les 8 millions de VRC.

Un second hard fork a eu lieu le 14 juillet. Cette opération impliquait également la création d'une transaction déplaçant les 8 millions de VRC vers un nouveau portefeuille. Par conséquent, les blocs contenant les transactions volées sont devenus orphelins et sont restés refusés par le réseau.

Nosker a déclaré à CoinDesk que cette mesure était nécessaire pour protéger les investisseurs. Il a toutefois reconnu la controverse qui l'a motivée et la frustration des personnes concernées, déclarant :

La communauté est clairement divisée. Certains pensent que nous sommes de bons joueurs pour avoir aidé les utilisateurs à KEEP leurs cryptomonnaies volées. D'autres pensent que nous sommes mauvais pour avoir « abusé » de nos droits de développement afin de modifier la blockchain. Nous pensons avoir raison, car moins de 4 000 $ de VRC ont été envoyés entre le vol et le hard fork, alors que plus de 2 millions de dollars de VRC auraient été envoyés autrement.

Il a ajouté : « Nous ne voulions T non plus ONEun individu capable d’attaquer à 51 % ».

Au moment de la mise sous presse, MintPal n'avait pas encore réactivé son marché de la vericoin. Cependant, ONEun des administrateurs du site a indiqué que l'accent était désormais mis sur l'identification des clients ayant subi des pertes.

Image de pirate informatiquevia Shutterstock