Getting your Trinity Audio player ready...
|
Dernière modification effectuée le 07.09.2023 00:23
Piratage évité sur le protocole Aurora ! La DeFi a failli connaître un énième hack en ce début du mois de juin 2022 en raison d’une vulnérabilité « critique » dans le système d’Aurora. Toutefois, les développeurs du protocole ont préféré verser une récompense d’un montant de 6 millions de dollars à l’hacker White Hat pour l’éviter. Le hack bounty est une méthode accordant une récompense pécuniaire à toute personne qui trouvera une ou des failles de sécurité dans un programme défini.
Aurora est un projet construit à partir de la blockchain Near Protocol. Il permet de transférer des tokens entre Ethereum/Near Protocol et Aurora et est une machine virtuelle qui alimente les smarts contract et les transactions exécutées en code sur la blockchain sans intermédiaire et sur Ethereum (ETH).
Quant à l’hacker White Hat (« chapeau blanc » en français), il convient de préciser que l’on emploie communément ce terme pour désigner les hackers éthiques ou les experts en sécurité informatique qui réalisent des tests d’intrusion et d’autres méthodes de test aux fins d’assurer la sécurité des systèmes d’information d’une organisation. Dit autrement, les hackers White Hat découvrent des failles de sécurité dans les systèmes, souvent pour aider l’entreprise à y pallier.
Dans l’affaire présentée ce jour, l’hacker était bien un White Hat qui avait découvert une vulnérabilité critique dans le système Aurora dès le mois d’avril de cette année. Plus précisément, l’on sait que l’hacker en question utilise le pseudo pwning.eth pour ne pas révéler son identité. Il a mis en lumière un hack bounty,
Les développeurs du projet DeFi Aurora reconnaissent leur faute après avoir versé la bounty au hacker
Les développeurs du protocole Aurora ont pris la parole à propos de ce (DeFi) hack bounty.
Ils admettent être fautifs et qu’ils auraient dû repérer cette vulnérabilité/ce beug bien plus tôt. Quoiqu’il en soit, il semble que la décision prise a été la bonne puisque l’on sait que pas moins de 200.000 millions de dollars de fonds auraient pu se volatiliser s’ils n’avaient pas versé une récompense de 6 millions à l’hacker du système Aurora.
Si ce type d’événement n’est désormais plus inconnu, avec cette somme – conséquente – les équipes du projet Aurora rejoignent le rang des plus grosses primes versées pour un tel motif dans l’écosystème de la DeFi.
« Une telle vulnérabilité aurait dû être découverte à un stade plus précoce du pipeline [de défense] et nous avons déjà commencé à améliorer nos méthodes pour y parvenir à l’avenir. Toutefois, cet événement prouve en fin de compte que nos mécanismes de sécurité fonctionnent ».
Franck Braun, responsable de la sécurité chez Aurora
Il explique dans un communiqué que la faille (DeFi bounty hack) de sécurité a été signalée, une fois de plus, via Immunefi le mois dernier après que des fonds aient été volés, raison pour laquelle la société avait lancé un programme de récompenses allant de 1.000 à 6 millions de dollars (selon la gravité).
Immunefi se présente comme la « principale plateforme de bug bounty du web3, qui protège 100 milliards de dollars de fonds des utilisateurs ». Cette plateforme a par exemple joué un rôle clef récemment dans une affaire similaire, le piratage (évité, pour les mêmes raisons) de Wormhole.