Indexed Finance déjoue les pirates de l'air et s'apprête à indemniser les victimes de piratage de 2021

[pxn_tldr]

Indexed Finance, un projet basé sur Ethereum qui a subi un piratage de 16 millions de dollars en 2021, a déjoué avec succès deux tentatives de détournement. Le contrôle de l’organisation autonome décentralisée (DAO) du projet sera restitué à ses fondateurs, qui visent à allouer le trésor restant aux victimes du piratage de 2021.

Dans un fil de discussion sur X (anciennement Twitter), Laurence Day, un ancien contributeur principal, a détaillé les efforts de la communauté Indexed pour surmonter deux tentatives de piratage de la trésorerie restante du DAO Indexed. Les deux attaquants ont acquis des quantités importantes de jetons NDX du protocole et visaient à prendre le contrôle des quelque 120 000 $ d’actifs numériques du DAO grâce à des propositions malveillantes.

La proposition initiale, dépourvue de titre ou de description dans un effort apparent pour éviter d’être détectée, a été contrecarrée lorsque Day et d’autres membres de la communauté ont mobilisé le DAO indexé pour voter contre. La proposition de l’attaquant a été proche de l’approbation en une heure, mais suffisamment de « non » ont été exprimés pour empêcher son adoption.

Indexed Finance déjoue les pirates de l'air et s'apprête à indemniser les victimes de piratage de 2021

D’accord, voici ce qui vient d’arriver au DAO indexé

L’épave peut être vue dans le panneau Tally ci-dessous

C’est un long fil de discussion, mais je veux l’enregistrer quelque part

Cependant, comme l’équipe d’Indexed a dû coordonner ouvertement les votes contre la proposition, Day a anticipé la possibilité d’une attaque par copie. De plus, comme Day l’a détaillé dans son fil de discussion, une vulnérabilité supplémentaire pourrait mettre en péril les fonds au-delà de la trésorerie du DAO si ceux-ci se retrouvaient sous un contrôle hostile.

Pour atténuer la menace d’une attaque ultérieure, l’Indexed DAO a approuvé une proposition de « pilule empoisonnée », lui accordant le pouvoir de brûler les fonds restants du Trésor si nécessaire pour dissuader les attaquants potentiels.

En rapport: Azuki DAO devient « Bean » et abandonne le procès contre son fondateur

Lors de la deuxième attaque prévue, l’agresseur a d’abord cherché à négocier 50 % de la trésorerie restante, comme l’ont révélé les messages en chaîne. Le fondateur d’Indexed, Dillon Kellar, a répondu en proposant 10 000 $ de Dai (DAI) et a mis en garde contre l’incendie de l’intégralité du trésor si l’attaquant refusait.

Alors qu’il ne restait que quatre heures avant l’ultimatum de Kellar, et suite à une tentative de contre-négociation pour 17 000 $, l’attaquant a accepté l’offre initiale et a retiré sa proposition malveillante. L’autorité sur le DAO reviendra désormais à un multisig contrôlé par Day, Kellar et le co-fondateur pseudonyme PR0, avec des plans pour indemniser les victimes du piratage de 2021 en utilisant les fonds restants du Trésor.

Revue : Les DAO sont-ils surfaits et irréalisables ? Les leçons du front