L'exploiteur qui a vidé le pont Verus-Ethereum de plus de 11 millions de dollars a restitué 8,5 millions de dollars à l'équipe du projet, tout en conservant 2,8 millions de dollars comme récompense de type white-hat.
Cela intervient à peine un jour après que la communauté Verus et ses développeurs aient offert la récompense en échange de ce que le pirate respecte un ensemble de termes.
Le pirate accepte une récompense de 2,8 millions de dollars
L'incident s'est produit le 17 mai, le pirate ayant exploité une étape de validation manquante sur l'un des contrats de sa passerelle interchaînes, ce qui lui a permis de vider environ 103,6 tBTC, 1 625 ETH et 147 000 USDC. Après le piratage, l'équipe du projet a décidé d'arrêter ses nœuds de production de blocs pour empêcher d'autres transferts et a publié un correctif d'urgence.
Verus a ensuite dit sur les réseaux sociaux qu'il offrait une récompense de 1 350 ETH à l'exploiteur du pont Ethereum en échange du retour de 4 052 ETH dans les 24 heures, ajoutant qu'il arrêterait toute enquête et ne poursuivrait pas de poursuites si les conditions étaient remplies.
« Si vous retournez un total de 4052,4 ETH à l’adresse 0xF9AB…C1A74 dans les 24 heures spécifiées ci-dessus, nous considérerons cela comme votre accord avec ces conditions, et nous respecterons notre engagement à cesser toute enquête supplémentaire à votre égard », a écrit l’équipe.
La société de sécurité blockchain PeckShieldAlerts a depuis signalé que le pirate avait transféré 4 052 ETH de retour à l'adresse de l'équipe, récupérant 75 % des fonds volés tout en conservant une récompense de 25 % soit 1,350 ETH. Toutefois, Verus n'a pas encore émis une reconnaissance formelle de la récupération sur ses plateformes, comme stipulé dans leur déclaration initiale.
Le développeur signale une possible utilisation d'une IA dans le piratage
La mise à jour intervient alors que le secteur cryptographie fait face à une augmentation du nombre d'exploitations de ponts, l'incident Verus étant le huitième de ce type cette année. Selon PeckShield, les attaquants ont volé un total de 328,6 millions de dollars à plusieurs protocoles cross-chain, tels que THORchain, ZetaChain, KelpDAO, HyperBridge, CrossCurve, Squid Router et IoTeX.io, mi-mai.
Mais le cas Verus est notable car la complexité de l'exploitation suggère que les pirates utilisent l'IA pour les aider à la mettre en œuvre. Le développeur principal du protocole, Mike Toutonghi, expliqué dans un article comment la technologie aurait pu leur permettre de comprendre les règles du système suffisamment bien pour concevoir des transactions contournant les vérifications et trompant le contrat Ethereum afin qu'il accepte le transfert cross-chain malveillant.
Ailleurs, Vitalik Buterin partagé des perspectives sur la façon dont l'IA peut toujours être utilisée pour renforcer la sécurité plutôt que de la compromettre. En réponse aux préoccupations de la communauté concernant la création d'opportunités d'exploitation continues par cette technologie, le cofondateur d'Ethereum a répondu en affirmant que la vérification formelle assistée par l'IA pourrait servir de défense robuste contre les défaillances de sécurité dans l'industrie crypto.
L'article Verus Bridge Exploiter retourne 8,5 M $, conserve 2,8 M $ en récompense de bounty est apparu en premier sur CryptoPotato.