Titre : MAPO chute de 96 % après une exploitation du pont qui a créé 1 quadrillion de jetons — Map Protocol suspend le mainnet et prépare une migration Le jeton natif de Map Protocol, MAPO, a chuté d’environ 96 % après que des attaquants aient exploité une faille dans le pont cross-chain Butter Network pour créer une énorme quantité de jetons non autorisés. Selon la société de sécurité blockchain Blockaid, l’attaquant a créé environ 1 quadrillion de MAPO — soit environ 4,8 millions de fois la quantité légale de 208 millions — puis a déversé environ 1 milliard de MAPO dans les pools de liquidité de Uniswap, effondrant le marché. Faits clés - Montant créé : ~1 quadrillion de MAPO (~4,8 M× la quantité légale de ~208 M) - Déversé sur le marché : ~1 milliard de MAPO dans les pools Uniswap - Recettes retirées : ~52 ETH (environ 180 000 $) provenant des ventes - Solde restant de l’attaquant : près d’un billion de MAPO, qui pourrait encore menacer d’autres pools et listages sur plateforme - Impact sur le prix : MAPO est tombé de ~0,003 $ à presque 0,0001 $ en quelques heures (~96 % de chute), selon CoinGecko - Source de la vulnérabilité : bogue dans le contrat Solidity de la couche OmniServiceProxy du pont Butter Bridge V3.1, pas de clés volées ni vérification défaillante du light client Comment l’exploitation a fonctionné (synthèse technique) L’enquête de Blockaid montre que l’attaquant a d’abord soumis un message signé par un multisig oracle légitime, puis déployé un contrat malveillant à une adresse spécifique. Il a ensuite réenvoyé un message cross-chain de « réessai » dont la charge utile avait été subtilement modifiée. Étant donné que le pont authentifiait les réessais en utilisant keccak256(abi.encodePacked(...)) sur plusieurs champs à taille dynamique, la concaténation produisait des limites ambigües (abi.encodePacked omet les préfixes de longueur), permettant une collision qui rendait le réessai manipulé apparemment valide. Le pont a accepté le message et exécuté une création non autorisée. Blockaid souligne qu’il s’agissait d’une vulnérabilité classique d’encodage Solidity, et non d’une compromission des clés privées ou de vérifications cryptographiques. Réponse de Map Protocol Map Protocol a confirmé que la faille provient de l’implémentation du contrat Solidity et a affirmé que son light client et son multisig oracle n’ont pas été compromis. L’équipe a : - Suspendu les opérations du mainnet et lancé un processus de migration - Annoncé qu’une nouvelle adresse de contrat et un calendrier de capture d’état des actifs seront publiés séparément - Déclaré que les jetons détenus par des wallets liés à l’attaquant seront exclus des futurs événements de conversion et invalidés pendant la migration Contexte plus large : les risques des ponts restent élevés Les ponts cross-chain ont été une cible récurrente cette année. Blockaid et d’autres sociétés de sécurité ont comparé cet incident à des défaillances récentes et passées où des messages falsifiés ou mal validés ont permis des créations ou transferts non autorisés — notamment l’exploitation du pont Verus (plus de 11,5 M$) et les incidents Nomad et Wormhole de 2022. D’autres attaques récentes sur des ponts incluent l’exploitation de TON-TAC pour 2,68 M$ en mai (le projet a récupéré près de 80 % des actifs) ainsi que des événements de sécurité signalés par des projets tels que THORChain, Transit Finance, TrustedVolumes, Echo Protocol, Ekubo et RetoSwap. Ce que fait Map Protocol Map Protocol est un réseau omnichaine conçu pour relier Bitcoin à des écosystèmes comme Ethereum, BNB Chain, Tron et Solana, en facilitant les transferts cross-chain de bitcoin, de stablecoins et d’actifs tokenisés. Cet incident met en lumière le risque systémique inhérent aux infrastructures d’interopérabilité, où des subtilités dans l’encodage des messages, la logique de réessai et la validation peuvent entraîner des perturbations massives et rapides. À surveiller ensuite - Le calendrier de migration et l’annonce de la nouvelle adresse de contrat par Map Protocol - Le fait que les plateformes d’échange et les fournisseurs de liquidité suppriment ou blacklistent les holdings MAPO contrôlés par l’attaquant - Toute information supplémentaire issue de Blockaid ou d’auditeurs indépendants confirmant l’étendue de la vulnérabilité et les mesures correctives Ce cas rappelle une fois encore que la validation des messages cross-chain et les bonnes pratiques d’encodage Solidity restent essentielles pour la sécurité des ponts.
Le token Map Protocol MAPO chute de 96 % après qu'une exploitation du pont ait créé 1 quadrillion de jetons
ChainGPTPartager
Résumé
Le token MAPO de Map Protocol a chuté de 96 % après qu'une exploitation DeFi a vidé le pont Butter Network, permettant aux attaquants de créer 1 quadrillion de jetons — 4,8 million de fois la quantité officielle. L'attaquant a vendu 1 milliard de MAPO sur Uniswap, réalisant 52 ETH (180 000 $). La faille se trouvait dans le contrat OmniServiceProxy de Butter Bridge V3.1, sans lien avec un vol de clés ou une défaillance cryptographique. Map Protocol a suspendu les activités sur le mainnet et travaille à une mise à jour du protocole pour exclure les jetons de l'attaquant. Cet incident met en lumière les risques liés à la technologie des ponts cross-chain.
Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations.
Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.