Drift Protocol, un échange décentralisé (DEX) basé sur Solana, a confirmé jeudi avoir été la cible d'un exploit d'environ 280 millions de dollars, le décrivant comme une « opération très sophistiquée ».
La plateforme a utilisé X pour partager les résultats de son enquête préliminaire, déclarant que les attaquants avaient exploité les « nonces durables » de Solana, un mécanisme permettant des transactions pré-signées, pour prendre le contrôle et siphonner les fonds. Le protocole avait précédemment indiqué qu'il subissait une attaque active et avait suspendu les dépôts et retraits tout en coordonnant avec des sociétés de sécurité, des ponts et des échanges.
L'attaque a commencé mercredi, le vol impliquant plusieurs actifs, y compris l'USDC (USDC) de Circle et divers altcoins. Les données on-chain ont ensuite montré que l'exploiteur avait échangé la majorité des actifs en USDC, les fonds étant ensuite transférés vers Ethereum via un pont.
L'incident a attiré l'attention non seulement parce qu'il semble impliquer l'abus d'une fonctionnalité légitime de transaction Solana plutôt qu'une simple défaillance de smart contract, mais aussi en raison de la manière dont les fonds ont circulé entre les chaînes pendant des heures sans être gelés, soulevant des questions sur l'intervention des émetteurs centralisés de stablecoins.
Les nonces durables de Solana sont une fonctionnalité unique permettant aux transactions de contourner certaines fenêtres d'expiration et aux utilisateurs de pré-signer des transactions pour une exécution future, une signature hors ligne ou des flux de travail multisig complexes.
Drift a déclaré que l'attaquant avait utilisé des transactions pré-signées basées sur des nonces durables pour obtenir un accès administratif non autorisé et exécuter rapidement des actions malveillantes après leur soumission.
Les nonces durables n'ont pas été largement associés à des exploits majeurs en soi, mais les développeurs ont noté que les fonctionnalités permettant une exécution différée peuvent introduire de la complexité et des risques potentiels si elles sont mal utilisées ou combinées avec d'autres vulnérabilités.
L'incident a suscité des critiques à l'encontre de Circle, l'émetteur de l'USDC, car l'attaquant a mis des heures à échanger 270 millions de dollars en stablecoin avant de les transférer vers Ethereum.
L'enquêteur on-chain ZachXBT et d'autres ont déclaré que la société avait eu au moins six heures pour geler les fonds mais n'avait pas agi, contrastant cette réponse avec des cas précédents où des portefeuilles avaient été mis sur liste noire.
Certaines personnalités de l'industrie ont souligné l'écart entre la capacité de Circle à geler les fonds et toute obligation de le faire.
« Circle pourrait les geler. Mais ils n'y sont pas tenus », a écrit l'utilisateur pseudonyme Molu sur X, ajoutant que les cadres réglementaires proposés, tels que le GENIUS Act, pourraient changer cette dynamique en exigeant une intervention selon des règles finalisées.
Article connexe : Balancer Labs ferme 4 mois après un exploit de plus de 100 millions de dollars, le protocole va continuer
L'incident marque un nouveau cas dans le débat continu sur l'intervention des plateformes centralisées lors des attaques, ZachXBT critiquant à plusieurs reprises Circle sur cette question.
L'enquêteur avait précédemment remis en question la réponse de Circle concernant l'USDC lié à un piratage lié à Bybit fin février, ce qui a provoqué une réponse du PDG de Circle, Jeremy Allaire, qui a déclaré que la société agissait sur les demandes des forces de l'ordre avant de geler les fonds.
Magazine : Personne ne sait si la cryptographie quantique sécurisée fonctionnera un jour
