Truebit, un protocole de finance décentralisée (DeFi) basé sur Ethereum, a été victime d'une cyberattaque. Selon les estimations des analystes de Lookonchain, 8 535 ETH, soit environ 26,6 millions de dollars, ont été dérobés lors de cet incident.
L'équipe Truebit a signalé une activité suspecte sur sa plateforme et a confirmé une faille de sécurité concernant le contrat intelligent 0x764C64b2A09b09Acb100B80d8c505Aa6a0302EF2. L'équipe du projet a conseillé aux clients de ne pas interagir avec ce contrat. La direction de Truebit a saisi les forces de l'ordre afin d'enquêter sur l'incident.
Weilin Li, chercheur indépendant spécialisé dans la blockchain, a établi un lien entre la fuite de données et une vulnérabilité dans un contrat intelligent obsolète déployé il y a environ cinq ans. La fuite est due à une fonction défectueuse de création de jetons au sein du contrat ; cette erreur de tarification a permis aux attaquants d'émettre des jetons TRU à des prix considérablement réduits, a expliqué Li.
Un expert en sécurité blockchain a découvert que deux pirates avaient exploité une faille de sécurité. L'un a eu beaucoup plus de chance que l'autre, parvenant à dérober environ 26 millions de dollars, tandis que l'autre n'a récupéré que 250 000 dollars. Lee a averti que les pirates informatiques ciblent de plus en plus les anciens contrats qui n'ont pas été conçus à l'origine pour résister à des attaques sophistiquées.
Le prix du jeton natif TRU a réagi à l'incident et s'est effondré, passant de 0,16 $ à 0,0000000007209 $. La capitalisation boursière de cette cryptomonnaie est actuellement proche de zéro.
Les attaques contre les projets DeFi ont considérablement augmenté ces derniers mois. En novembre, la plateforme d'échange décentralisée Balancer a perdu plus de 120 millions de dollars suite à l'exploitation d'une faille dans la version 2 de ses pools Composable Stable. Auparavant, Jonathan Levin, PDG de Chainalysis, avait identifié les principales vulnérabilités des protocoles DeFi : des erreurs dans le code des contrats intelligents, un manque d'audit et une protection insuffisante des clés d'accès des administrateurs.