L’opérateur de nœud Lido, InfStones, accepte de faire tourner les clés du validateur après la divulgation de la vulnérabilité

  • InfStones, un opérateur de nœuds clés pour Lido Finance, retire temporairement ses validateurs Ethereum suite à une vulnérabilité révélée par dWallet Labs
  • La vulnérabilité a été signalée en juillet 2023 et a depuis été résolue
  • Lido Finance a confirmé que seuls 25 des serveurs de validation d'InfStones étaient touchés et qu'il n'y avait aucune preuve de fuite ou d'exploitation de clé
  • Néanmoins, InfStones accepte de passer à de nouvelles clés en prévention et par mesure de sécurité

InfStones, un opérateur de nœuds clés pour Lido Finance, s’apprête à retirer temporairement ses validateurs Ethereum du protocole de jalonnement liquide et à mettre en œuvre des rotations de clés en réponse à une vulnérabilité importante révélée par les chercheurs en sécurité de dWallet Labs.
La vulnérabilité, liée à la bibliothèque open source Tailon, a été signalée à InfStones en juillet 2023 et a depuis été résolue. Néanmoins, cet événement a conduit à l’adoption de mesures de sécurité préventives.
En tant que plus grand protocole de jalonnement liquide sur Ethereum, Lido supervise 9,23 millions d’éther, avec une valeur marchande supérieure à 19 milliards de dollars. Le protocole permet aux utilisateurs de déposer de l’ETH et de participer au jalonnement du réseau via des nœuds de validation, qui à leur tour émettent un jeton dérivé aux utilisateurs en tant que représentation de leur dépôt mis en jeu. Un réseau de contributeurs, appelés opérateurs, est chargé de faire fonctionner ces nœuds de validation ETH, en fournissant l’infrastructure informatique et les serveurs nécessaires à leur fonctionnement.
Lido Finance a confirmé que la vulnérabilité était liée à un accès potentiel au niveau racine qui affectait 25 des serveurs de validation d’InfStones. Lido a toutefois précisé qu’il n’y avait aucune preuve d’une fuite ou d’une exploitation de clé résultant de ce problème.
« Pour clarifier : il n’y a actuellement aucune indication de fuite ou de compromission de clé, et la vulnérabilité peut ne pas affecter les validateurs liés au protocole Lido », a-t-il déclaré.
Dans son rapport de sécurité, dWallet Labs a affirmé que la vulnérabilité aurait pu potentiellement déclencher une faille de sécurité affectant l’ETH mis en jeu via les nœuds d’InfStones sur le Lido. Par conséquent, la société a recommandé la rotation des clés de validation pour tous les nœuds éventuellement exposés à la vulnérabilité.

Réponse d’InfStones

InfStones a déclaré que le problème signalé par dWallet n’affectait qu’une petite partie de son infrastructure, avec moins de 0,1 % de ses systèmes via un port réseau spécifique de son réseau qui présentait le problème. En tant que tel, cela impliquait que le nombre de nœuds de validation concernés était un petit nombre.
« Les instances (serveurs) identifiées en production constituent une fraction inférieure à 0,1 % des nœuds actifs que nous avons lancés à ce jour. Nous avons constaté que le trafic extérieur, via un port 55555 ouvert pour Tailon, pouvait imiter les privilèges du spectateur et accéder à une partie des données de développement et de test », a déclaré InfStones.
Malgré l’absence d’un compromis clé confirmé, InfStones a accepté de manière proactive de quitter ses validateurs et de passer à de nouvelles clés, en attendant l’approbation de la gouvernance, a ajouté Lido Finance. L’éther qui était auparavant mis en jeu sur les validateurs potentiellement concernés devrait être redirigé vers le protocole du Lido pour un nouveau jalonnement, garantissant ainsi sa continuité et sa stabilité.

Avis de non-responsabilité : The Block est un média indépendant qui diffuse des informations, des recherches et des données. Depuis novembre 2023, Foresight Ventures est un investisseur majoritaire de The Block. Foresight Ventures investit dans d’autres sociétés du secteur de la cryptographie. L’échange cryptographique Bitget est un LP d’ancrage pour Foresight Ventures. Le Block continue de fonctionner de manière indépendante pour fournir des informations objectives, percutantes et actuelles sur l’industrie de la cryptographie. Voici nos informations financières actuelles.

L’opérateur de nœud Lido, InfStones, accepte de faire tourner les clés du validateur après la divulgation de la vulnérabilité

© 2023 Le Bloc. Tous droits réservés. Cet article est fourni à titre informatif seulement. Il n’est pas proposé ni destiné à être utilisé comme conseil juridique, fiscal, d’investissement, financier ou autre.