Des mineurs trompent le protocole PegNet, transformant 11 $ en un trésor de près de 7 millions de dollars.

Des mineurs malhonnêtes ont soumis de fausses données de prix qui ont trompé le réseau décentralisé de stablecoins PegNet en transformant le solde d'un petit portefeuille en une réserve de 6,7 millions de dollars.

Mardi matin vers 5h00 UTC, quatre entités minières – qui représentaient ensemble jusqu'à 70 % du taux de hachage de PegNet – ont soumis des données qui ont artificiellement gonflé le prix d'un « pJPY », un stablecoin indexé sur le prix du yen japonais.selon un développeur COREsous le nom d'utilisateur « WhoSoup ».

Partant d'un portefeuille initialement doté de 11 $, le groupe a fait grimper le prix du pJPY à 6,7 millions de dollars, puis l'a transféré en pUSD, le stablecoin de PegNet lié au dollar américain. Ils ont ensuite tenté (sans succès) de liquider le plus de jetons possible sur les plateformes d'échange au comptant et de distribuer le reste sur des centaines d'adresses de portefeuille différentes.

PegNet est un réseau décentralisé, basé sur le protocole Factom, où les utilisateurs peuvent échanger des stablecoins indexés sur 42 actifs. Outre les monnaies fiduciaires, il existe également des actifs numériques indexés sur des matières premières, comme l'or, et d'autres cryptomonnaies, notammentBitcoin et éther.

Voir aussi :Un pirate informatique exploite une faille dans la plateforme d'échange décentralisée de Bitcoin Bisq pour voler 250 000 $

Le réseau s'appuie sur les mineurs pour soumettre des données de prix collectées auprès d'une série d'oracles et d'API afin de KEEP les prix des stablecoins indexés sur leurs équivalents en monnaie fiduciaire. Chaque bloc nécessite jusqu'à 50 points de données, et le protocole rejette les 25 soumissions les plus éloignées de la moyenne totale. La plupart utilisent les troisième et quatrième sources par défaut, mais les mineurs peuvent également soumettre leurs propres valeurs arbitraires.

"WhoSoup" a déclaré à CoinDesk que ce n'est normalement T un problème puisque le système fonctionne pour inciter les mineurs - avec une récompense de bloc - à soumettre des données de prix conformes à celles des autres soumissions.

Sur Discord, le développeur a expliqué que les mineurs ont essentiellement effectué une forme d'attaque à 51 % en soumettant 35 des 50 meilleures soumissions de prix, faussant la moyenne en leur faveur et signifiant que les 15 soumissions de prix restantes ont été rejetées comme des valeurs aberrantes.

Avec le faux taux de change, les mineurs ont converti le pJPY gonflé en pUSD, de sorte que le solde global du portefeuille est passé de 11 $ de jetons pJPY à bien plus de 6,7 millions de pUSD, ce qui, en supposant des données de prix précises, devrait valoir 6,7 millions de dollars.

L'attaque de mardi a duré environ 20 minutes et n'a apparemment pas affecté les fonds des autres utilisateurs.

David Johnston, président de Factom Inc. et ONEun des principaux responsables de PegNet, a déclaré à CoinDesk que le groupe n'avait aucun contrôle sur les transactions et les conversions des autres utilisateurs, mais ne pouvait que confirmer les données de prix. « Cet attaquant semble n'avoir affecté que son propre portefeuille », a-t-il déclaré.

Johnston a ajouté que l'attaquant n'avait pas pu transférer une grande partie des pUSD vers la Cryptomonnaie native PEG de PegNET, car le logiciel du protocole ne permet T de conversions QUICK . « Cette personne a pu générer une quantité importante de pAssets, mais n'a pas pu les convertir en PEG et les vendre sur le marché », a-t-il déclaré.

La configuration de PegNet rend impossible l'identification des personnes contrôlant les entités minières. Bien que quatre entités minières aient travaillé de concert, il n'est T certain qu'elles soient toutes contrôlées par la même personne ou par un groupe.

Voir aussi :Pourquoi cette crise mondiale est un moment déterminant pour les stablecoins

Mais certaines questions restent sans réponse. L'attaquant a depuis contacté PegNet et a affirmé qu'il tentait simplement de « tester la pénétration du réseau et de la logique du code » afin d'identifier les vulnérabilités potentielles et d'avertir les développeurs CORE .

Ils ont également détruit tous les stablecoins en question, les envoyant tous à laAdresse de gravure PegNetvers 14h00 UTC mardi.

Who et Johnston ont refusé de s'exprimer sur les motivations de l'attaque. « Je ne peux T me prononcer sur les intentions de cette personne, seulement sur ses actes », a déclaré Johnston. « Ses actions visaient à générer les pAssets, puis à les détruire. [Cela] ressemble plus à un coup monté qu'à une attaque, compte tenu de sa courte durée et de ses actions depuis. »

La décision de l'attaquant de brûler les actifs semble refléter les actions du pirate informatique quidForce vidéde 25 millions de dollars ce week-end, puis ont restitué les actifs volés après avoir appris que les autorités singapouriennes avaient leur adresse IP.

Johnston a déclaré que PegNet allait désormais revoir certains de ses mécanismes oracles, afin de s'assurer qu'ils sont suffisamment robustes pour résister à ce type d'attaques à l'avenir.

Voir aussi :Factom Inc. menacée de liquidation après le refus des investisseurs de Request un financement supplémentaire

« Je m'attends à des attaques plus sophistiquées au fil du temps. La valeur croissante des réseaux DeFi augmente les raisons de les attaquer », a-t-il déclaré. « La clé est de construire des systèmes comme PegNet où les utilisateurs individuels ne sont pas affectés par les actions des autres membres du système. Ainsi, comme PegNet ne dispose d'aucune réserve ni garantie détenue dans un pool, il n'y avait pas de fonds communs à puiser. »

PegNet n'est T encore certain que les mineurs aient pu décharger une partie des pUSD sur des échanges de Cryptomonnaie .