Ce jeu Blockchain a été exploité pour 4,6 millions de dollars juste avant son lancement
Super Sushi Samurai, un jeu blockchain natif de la solution de couche 2 Blast, a été exploité quelques heures avant le lancement de son produit de jeu très attendu.
L'exploit, qui aurait été orchestré par un pirate informatique au chapeau blanc, a entraîné une perte de 4,6 millions de dollars en raison d'un bug dans le code de son contrat intelligent.
Bug de contrat intelligent exploité
Selon une annonce de l'équipe de Super Sushi Samurai, l'exploit était dû à un bug dans le code du contrat intelligent, permettant à une partie non autorisée de lancer une fonction de menthe infinie. Cela a entraîné la création d’un nombre excessif de jetons qui ont ensuite été vendus dans le pool de liquidité.
Nous avons été exploités, c'est lié à la menthe. Nous étudions toujours le code. Les jetons ont été frappés et vendus dans le LP.
Transaction : https://t.co/F4XeqdyJu2les fonds exploités sont dans ce wallet : https://t.co/NWeTu5vMkj
- Super Sushi Samouraï | SSS (@SSS_HQ) 21 mars 2024
CertiK, une société de sécurité en chaîne, a confirmé l'étendue de l'exploit, déclarant que 4,6 millions de dollars de jetons étaient affectés. Selon les données de CoinGecko, l'exploit a entraîné un dérapage de 99 % de la valeur du jeton suite à un vidage non autorisé du jeton. L'attaquant a réussi à obtenir 1 310 ETH du principal pool de liquidités du jeton en exploitant la vulnérabilité du contrat intelligent.
L'enquête sur l'incident a révélé qu'une partie non autorisée avait acquis 690 millions de jetons SSS et initié une série de transactions via un contrat d'attaque conçu à cet effet.
Le @SSS_HQ $SSS LP vient d'être épuisé parce que leur contrat de jeton présente un bug où le transfert de la totalité de votre solde sur vous-même le double.
L'ordre des opérations décrémente le solde pour « de » puis définit le solde pour « à » – s'il s'agit de la même adresse, le… pic.twitter.com/RStMcFH3sy
– Café ☕️🍌 (@coffeexcoin) 21 mars 2024
Exploitant une vulnérabilité au sein de la fonction de mise à jour de la plateforme, l'attaquant a dupliqué les jetons en sa possession 25 fois, gonflant la quantité à 11,5 billions, qui ont ensuite été échangés contre environ 1 310 ETH.
Efforts de rétablissement
Suite à la violation, Super Sushi Samurai s'est activement engagé auprès de sa communauté, fournissant des mises à jour et des assurances via sa chaîne officielle Telegram et d'autres plateformes de médias sociaux.
Dans un post X, ils ont révélé que l'exploit avait été réalisé par un hacker au chapeau blanc qui est actuellement en communication avec leur équipe. Le message du hacker, visible sur Blastscan, indiquait qu'il s'agissait d'une mission de sauvetage et que des plans de remboursement des utilisateurs concernés étaient en cours.
Ils ont également divulgué l'adresse contenant les fonds compromis pour faciliter le suivi et la récupération potentielle des actifs perdus et ont indiqué qu'ils travaillaient avec le pirate informatique au chapeau blanc pour assurer le retour des fonds en toute sécurité.
1. Post-mortem :
Le contrat de jeton présente un bug qui fait que le transfert de la totalité de votre solde sur vous-même le double. h/t @coffeexcoin2. Détails des dommages :
eth total dans le pool avant l'exploit : 1339,50 ETH
Chapeau blanc : 1 310,04 ETH
Chapeau noir : 40,28 ETH
nous supprimons LP et obtenons : 29,09 ETH3. Mise à jour :…
- Super Sushi Samouraï | SSS (@SSS_HQ) 22 mars 2024
Pendant ce temps, une mise à jour « post-mortem » de Super Sushi Samurai décrit l'étendue des dégâts, des négociations étant en cours pour parvenir à une résolution qui protège à la fois les utilisateurs et le pirate informatique impliqué dans l'incident.
OFFRE SPÉCIALE (Sponsorisée)
OFFRE LIMITÉE 2024 pour les lecteurs de CryptoPotato chez Bybit : utilisez ce lien pour vous inscrire et ouvrir gratuitement une position BTC-USDT de 500 $ sur Bybit Exchange !
