Bug critique dans les pools de jalonnement Ethereum 2.0 corrigé en toute sécurité

Dmitri Tsumak, le fondateur de la plate-forme de jalonnement ETH 2.0 StakeWise, a découvert une grave vulnérabilité affectant les concurrents de jalonnement ETH Rocket Pool et Lido. L’exploit a maintenant été corrigé, Rocket Pool et Lido versant chacun à Tsumak une prime de bogue de 100 000 $ pour avoir identifié le problème.

Ethereum Staking Pool Bug corrigé

Une vulnérabilité affectant les fonds dans les pools de jalonnement ETH 2.0 a été corrigée en toute sécurité.

Tard lundi soir, StakeWise le fondateur Dmitri Tsumak a découvert un exploit qui permettrait aux opérateurs de nœuds de retirer des fonds des pools de jalonnement liquide ETH 2.0. Tsumak a initialement identifié l’exploit dans l’architecture du protocole de jalonnement ETH qui sera bientôt lancé Piscine de fusée. Après une enquête plus approfondie, le bogue s’est également avéré affecter Piscine, le plus grand pool de jalonnement ETH 2.0 actuel sur Ethereum, avec un valeur totale bloquée de 4,66 milliards de dollars.

1/ Hier soir vers 19h UTC, notre fondateur Dmitri Tsumak (@tsudmi) a découvert une grave vulnérabilité dans @Rocket_Pool qui pourraient conduire au vol des fonds des utilisateurs s’ils étaient exploités.

Après un examen plus approfondi, il est devenu évident que @LidoFinancel’architecture de a également été touchée. https://t.co/xlpZMYkFMe

– StakeWise (@stakewise_io) 5 octobre 2021

Bien que les opérateurs de nœuds choisis par Rocket Pool et Lido soient fiables, l’exploit met en évidence une vulnérabilité critique dans l’architecture de contrat intelligent régissant les protocoles. Pendant que le bogue était actif, environ 100 ETH des fonds des utilisateurs étaient à risque.

Après que Tsumak ait signalé le bogue à l’aide d’un alias, l’équipe de Rocket Pool a rapidement informé Lido que les fonds de son protocole étaient également menacés. Le lendemain matin, les deux protocoles avaient pris des mesures pour assurer la sécurité des fonds de leurs utilisateurs.

Le bogue a été identifié juste 24 heures avant le lancement de Rocket Pool sur le réseau principal Ethereum.

Rocket Pool et Lido ont mis en place des correctifs temporaires pour sécuriser les fonds des utilisateurs, mais le problème n’est pas encore complètement résolu. Les deux protocoles ont défini un plan d’action et travaillent actuellement à une solution plus permanente à l’exploit.

Une fois l’incident résolu, les parties impliquées se sont tournées vers les médias sociaux pour débriefer leurs communautés respectives sur ce qui s’était passé. Rocket Pool a prolongé son Reconnaissance à Tsumak pour avoir signalé le bogue, bien qu’il soit le fondateur du rival de Rocket Pool, StakeWise.

Sur Twitter, StakeWise adressé pourquoi il avait décidé de rendre publiques les informations de l’exploit une fois qu’il avait été corrigé, en déclarant :

« Chez StakeWise, nous pensons que même lorsque nous traitons avec nos concurrents, plus nous sommes en sécurité collectivement, plus l’ensemble de l’écosystème de jalonnement #ETH2 devient fort. Pour y parvenir, nous devons communiquer et nous surveiller mutuellement.

Rocket Pool et Lido ont tous deux accepté de payer 100 000 $ à Tsumak pour identifier le problème, le montant maximum détaillé dans le programme de primes de bug de Lido.

Bien que les vulnérabilités des protocoles DeFi ne soient pas rares, elles sont souvent identifiées avant que les pirates ne puissent les exploiter. En août, Samzcsun de Paradigm.xyz a détecté une vulnérabilité de 350 millions de dollars dans les contrats intelligents MISO de SushiSwap. L’exploit a été identifié et corrigé avant que les pirates ne puissent prendre des fonds. L’équipe Sushi payé Samzcsun une prime de 1 million USDC pour son aide à identifier et à corriger le bogue.

Avis de non-responsabilité : Au moment de la rédaction de cette fonctionnalité, l’auteur possédait BTC, ETH et plusieurs autres crypto-monnaies.

Cette nouvelle vous a été présentée par ANKR, notre partenaire DeFi préféré.

Apprendre encore plus