Hier, le piratage de 62 millions de dollars du projet de jeu NFT Munchables a provoqué un émoi au sein de la communauté crypto, avec des appels à l'équipe principale de Blast pour réparer manuellement les dégâts sur le rollup centralisé.
Heureusement, une telle action controversée s’est avérée inutile. Une fois qu'il est devenu clair qu'ils étaient incapable Pour s'en sortir avec leurs gains mal acquis, le développeur malhonnête responsable du vol a restitué les fonds à l'équipe Blast.
Lire la suite : Jeu de crypto exploité pour 4.6 millions de dollars, un hacker prétend être un chapeau blanc
Comme pour le piratage DAO sur Ethereum en 2016, l’incident nous oblige à considérer les implications d’une interférence avec ce qui est censé être des registres immuables.
Le hack
Même si le « hack » lui-même était simple, il avait été prévu bien à l'avance.
Avant le lancement, un développeur malveillant a utilisé son admin accès pour s'attribuer un solde d'éther important dans une mise en œuvre précédente et non vérifiée du contrat Munchables.
Plus tard, lorsque les dépôts ont commencé à affluer vers les contrats améliorés, l'adresse de l'exploitant disposait de suffisamment d'ETH pour drainer les fonds, retirant environ 17,400 62 ETH, d'une valeur de plus de XNUMX millions de dollars à l'époque.
Le développeur avait également un accès administrateur à un contrat détenant plus de 30 millions de dollars de fonds déposés par un autre projet basé sur Blast, Boîte de jus. Le risque de centralisation était identifié que la faible gravité de l'audit du projet et que les préparatifs du développeur sont apparemment passés inaperçus.
Le coupable
Le détective Blockchain ZachXBT initialement soupçonné que le développeur responsable faisait partie du groupe Lazarus de la RPDC, un groupe de pirates informatiques parrainés par l'État, pointant du doigt un profil GitHub nommé « Werewolves0493 ».
Il a aussi suggéré que quatre des « développeurs » du projet pourraient en fait être la même personne, car ils étaient liés par des transferts en chaîne et par des dépôts vers des adresses d'échange partagées.
Le PDG de PixelCraft Studios, qui s'appelle coderdan.eth sur X (anciennement Twitter), a partagé son rodage avec le même développeur, qui a été licencié « en moins d’un mois ». À en juger par les dépôts à leurs adresses Binance, ChainArgos CROYONS le promoteur a occupé une poignée d'emplois à court terme au cours des 18 derniers mois.
Que cet individu soit lié ou non à Lazare, tenter infiltrer les équipes de cryptographie est une technique connue utilisée par le groupe de piratage.
Le dilemme
Depuis que le Trésor américain a approuvé le mélangeur cryptographique Tornado Cash, une résistance crédible à la censure est devenue une mesure importante de la décentralisation d'une blockchain. L’espoir est que s’il n’y a aucune entité à accuser d’avoir interagi avec des adresses sanctionnées, alors il n’y a personne à poursuivre.
De même, si une équipe de développement basée aux États-Unis dispose de pouvoirs administratifs suffisants pour annuler les effets des piratages ou des actions d’entités sanctionnées, elle peut se trouver obligée de le faire.
Des précédents ont été créés dans le passé. L'année dernière, Jump Crypto a mené un « contre-exploit » pour récupérer les 120,000 2022 ETH perdus lors du piratage Wormhole en 300, d'une valeur de plus de XNUMX millions de dollars à l'époque.
Également en 2022, la chaîne BNB liée à Binance a été arrêtée par ses validateurs, garantissant que le produit d'un piratage de pont de 600 millions de dollars ne pourrait pas être siphonné vers d'autres chaînes moins censurables.
Blast lui-même n’est pas exactement un excellent exemple de l’éthique de « manque de confiance » de la cryptographie, ni un modèle de décentralisation.
Lire la suite : Les critiques dénoncent Blast comme le dernier projet sommaire sur Ethereum
Lorsque Blast a été lancé, parallèlement à un programme de points induisant le FOMO, il offrait un « rendement natif » sur l'ETH et les pièces stables, bien que les dépôts soient simplement transférés dans un portefeuille multisig pendant la construction du réseau lui-même.
Le statut de Blast en tant que bac à sable essentiellement expérimental qui ne donne pas la priorité à la décentralisation autant que d'autres réseaux a conduit certains à le faire. CROYONS qu'utiliser des pouvoirs centralisés pour revenir manuellement les activités peu recommandables devraient être encouragés afin de rendre les utilisateurs entiers.
Mais d'autres argumenter qu'une telle décision pourrait être considérée comme un signe d'approbation pour d'autres rollups centralisés (par exemple Optimism et Base) qui pourraient être contraints de censurer leur activité réseau.
Le DAO
Le débat ramené souvenirs du piratage The DAO de 2016 qui, incidemment, impliquait une perte d'un montant similaire (3.6 millions d'ETH, ce qui vaudrait près de 13 milliards de dollars aujourd'hui).
Lire la suite : Dencun d'Ethereum provoque une panne de couche 2 « Blast »
Le « hard fork », conçu pour inverser les dégâts, a entraîné une scission de la chaîne menant au réseau principal Ethereum actuel et à la continuation de la chaîne pré-fork, désormais connue sous le nom d'Ethereum Classic.
Compte tenu de la fréquence à laquelle les utilisateurs d’Ethereum ont été exposés à des pertes de 60 millions de dollars et plus depuis lors, un hard fork pour remédier à un piratage semble presque impensable.
Vous avez un conseil ? Envoyez-nous un e-mail ou ProtonMail. Pour des nouvelles plus informées, suivez-nous sur X, Instagram, Blueskyet la Google Actualitésou abonnez-vous à notre YouTube canal.
Source : https://protos.com/blast-l2-hack-prompts-debate-over-centralization-of-ethereum-rollups/