Ethereum Platform Thunder fait face à une faille de sécurité : 86 Eth et
Ethereum a occupé le devant de la scène lors d'un récent cyberincident signalé le 27 décembre, alors que l'équipe Thunder a reconnu l'existence d'un exploit sur sa plateforme de trading. Cette faille de sécurité a entraîné la perte de 86 Ethereum et 439 SOL. Le pirate informatique responsable de l'attaque a affirmé être propriétaire des données des utilisateurs, en particulier des clés privées, et a déclaré son intention de les supprimer.
Malgré les affirmations du pirate informatique, l'équipe Thunder a affirmé que le protocole ne stocke ni clés ni portefeuilles, ce qui rend la menace sans pertinence. Rassurant les utilisateurs concernés, l'équipe s'est engagée à rembourser les fonds et à offrir une dispense de frais de 0 %.
Les passionnés de crypto ont été témoins d'une autre faille de sécurité sur le marché de la crypto lorsque Thunder, un protocole DeFi fonctionnant sur Ethereum, Solana et d'autres réseaux blockchain, a reconnu un exploit le 27 décembre. arrêter l’activité non autorisée dans un délai de neuf minutes.
Ethereum Heist : un pirate informatique arrache 86,5 ETH et 439 SOL d'une valeur de 239 000 $ à Thunder
L'agresseur a réussi à s'enfuir avec 86,5 Ethereum et 439 SOL, d'une valeur de plus de 239 000 $. Thunder a révélé que le pirate informatique avait exploité une vulnérabilité en accédant à une URL de connexion MongoDB, lui permettant d'extraire des jetons de session et d'effectuer des retraits non autorisés au nom des utilisateurs.
Bien que l'équipe Thunder ait reconnu que 114 des 14 000 portefeuilles de la plateforme étaient affectés, le pirate informatique a insisté pour conserver les données des utilisateurs liées aux clés privées, avec l'intention de les supprimer. L'équipe a toutefois réfuté la possibilité de telles suppressions, mettant l'accent sur la sécurité des actifs des utilisateurs.
L'équipe Thunder a rejeté la menace posée par l'exploiteur, affirmant que
« Aucune clé privée ni portefeuille n'a été compromis… Nous ne stockons aucune clé privée, donc l'attaquant n'a accès à aucun portefeuille. Les portefeuilles de bureau n'ont pas été affectés. Moins de 1% des portefeuilles de notre plateforme ont été affectés par cette attaque.
De plus, l'équipe a affirmé avoir entamé une communication avec le Federal Bureau of Investigation (FBI) et exprimé sa volonté d'engager des négociations avec l'exploiteur. L’incapacité de parvenir à un accord inciterait l’équipe à engager des poursuites judiciaires.
Nous avons pris les mesures suivantes :
– Notre équipe juridique et le FBI ont été contactés.
– Nous sommes actuellement soumis à un audit technique complet.
– Nous travaillons sur l’ajout immédiat de 2FA pour les retraits.
– Nous ajoutons une sécurité supplémentaire concernant l’émission de session.
– Nous savons lequel…
– Tonnerre (@ThunderTerminal) 27 décembre 2023
Dans une dernière assurance aux utilisateurs, l'équipe a souligné la sécurité de leurs actifs. Les utilisateurs concernés ont été informés que les fonds perdus seraient entièrement remboursés et qu'ils bénéficieraient d'une dispense de frais de 0 % ainsi que de 100 000 $ de crédits.
L’exploit Thunder marque potentiellement la dernière faille de sécurité de 2023, une année qui a déjà vu le détournement de plus de 2 milliards de dollars d’actifs. L’attaque la plus importante a notamment été signalée par la société de conseil en sécurité blockchain Mixin Network, entraînant une perte de plus de 200 millions de dollars en actifs numériques.
