|
Getting your Trinity Audio player ready...
|
- Une faille critique dans un contrat audité a été découverte par un chercheur nommé Jinu, affectant la création des AgentTokens et nécessitant une mise à jour d’urgence pour sécuriser l’écosystème.
- La communication initiale de Virtuals Protocol a été défaillante, sans programme de bug bounty ni canal efficace pour signaler les vulnérabilités, ce qui a conduit Jinu à divulguer la faille publiquement.
- Virtuals Protocol a présenté ses excuses et promis une récompense pour Jinu tout en annonçant une révision interne pour améliorer sa gestion des vulnérabilités et la confiance des utilisateurs.
Une faille inattendue dans un contrat audité
Le 3 décembre 2024, un chercheur en sécurité connu sous le pseudonyme de Jinu a identifié une faille critique dans l’un des contrats intelligents audités de Virtuals Protocol, une entreprise spécialisée dans les agents intelligents IA alimentés par la blockchain.
Cette vulnérabilité, liée à une validation insuffisante lors de la création des AgentTokens, aurait pu empêcher leur génération jusqu’à ce qu’un correctif soit appliqué. En réponse, Virtuals Protocol a publié une mise à jour d’urgence pour corriger cette faille et éviter un impact potentiel sur son écosystème.
Une communication initiale chaotique
Lors de la découverte, Jinu a tenté de signaler la vulnérabilité via les canaux officiels de Virtuals Protocol. Cependant, la société avait déjà fermé le groupe Discord dédié au signalement des bugs et n’avait pas de programme actif de bug bounty, privant le chercheur d’une récompense immédiate. Frustré par cette situation, Jinu a publié les détails de la faille sur la plateforme X, critiquant le manque apparent d’intérêt de Virtuals Protocol pour la sécurité.
Selon les déclarations de Jinu, la faille résidait dans une absence de vérification des seuils internes lors de la création des AgentTokens. Si elle avait été exploitée, cette vulnérabilité aurait pu paralyser une fonctionnalité essentielle du protocole.
Réaction de Virtuals Protocol
Après la publication des informations par Jinu, Virtuals Protocol a rapidement contacté le chercheur pour signaler qu’un correctif avait été appliqué. La société a présenté ses excuses pour les malentendus initiaux, précisant que le problème venait d’une mauvaise communication interne. Dans un message adressé à Jinu, Virtuals Protocol a remercié le chercheur pour sa vigilance et a promis une révision interne pour évaluer la gravité de la faille et déterminer une récompense adéquate.
Cette réponse tardive a néanmoins suscité des interrogations sur la préparation et la réactivité de l’entreprise face à des vulnérabilités critiques. L’absence initiale de programme de bug bounty a mis en lumière un point faible dans sa gestion de la sécurité, un élément crucial pour maintenir la confiance des investisseurs et utilisateurs.
Bug bounty et le rôle des hackers éthiques
Alors que Virtuals Protocol promet de récompenser Jinu, aucune annonce officielle sur le montant ou les modalités de la récompense n’a été faite. Jinu, qui a découvert cette faille après avoir examiné le code pour un ami ayant investi dans un token du protocole, a déclaré ne pas avoir d’attentes précises concernant la somme à recevoir.
