Les auditeurs de la blockchain ont suggéré que la raison d’un piratage massif de 4 millions de dollars sur plusieurs fournisseurs de portefeuilles de crypto-monnaie est due à une mauvaise configuration dans une technologie de journalisation des événements largement utilisée.

Les jetons de crypto-monnaie Solana (SOL) et USD Coin (USDC) figuraient parmi ceux volés dans les portefeuilles Slope par un attaquant inconnu, après que les portefeuilles ont révélé des fuites de phrases de départ en texte clair.

Les phrases de départ sont des chaînes de mots générés aléatoirement utilisés pour récupérer des portefeuilles de crypto-monnaie. Ils sont considérés comme sûrs et seuls les propriétaires sont censés savoir ce que sont ces chaînes.

Les auditeurs de la blockchain Zellic et OtterSec ont tous deux publié les résultats de leurs enquêtes respectives, qui sont toujours en cours, les deux se concentrant sur le portefeuille Slope. Ils ont conclu que le problème provenait d’une mauvaise configuration dans Sentry.

Sentry est une plate-forme d’enregistrement d’événements utilisée par de nombreux sites Web et applications mobiles du secteur, notamment le portefeuille Slope pour iOS et Android. Les autres portefeuilles également concernés incluent Phantom, Solflare et TrustWallet.

Zellic a déclaré que « toute interaction dans l’application déclencherait un journal des événements. Malheureusement, Slope n’a pas configuré Sentry pour nettoyer les informations sensibles. Ainsi, [the seedphrases] ont été divulgués à Sentry ».

Toute personne ayant accès à Sentry peut accéder aux clés privées des utilisateurs, OtterSec a ditleur permettant de récupérer des portefeuilles qui ne leur appartiennent pas et de transférer des jetons vers leur propre portefeuille personnel.

Zellic’s une analyse a révélé que Slope n’utilisait Sentry que depuis une semaine avant que la violation ne soit confirmée.

Il a également déclaré qu’il était possible de nettoyer les données qui n’ont pas besoin d’être connectées à Sentry via le kit de développement logiciel (SDK) de la plate-forme ou via le nettoyage côté serveur.

Slope a déclaré que de nombreux portefeuilles appartenant à ses fondateurs et à son personnel avaient également été épuisés lors de l’attaque.

OtterSec travaille avec Slope depuis le début de l’attaque mardi soir, Slope fournissant des journaux à l’auditeur remontant au 28 juillet.

On s’inquiète d’un écart entre les adresses de portefeuille confirmées comme étant affectées par le piratage et celles qui sont présentes dans les journaux de Slope, a déclaré OtterSec.

« Environ 1 400 des adresses de l’exploit étaient présentes dans les journaux Sentry. Notamment, cela ne tient pas compte de toutes les adresses piratées », a déclaré OtterSec.

« Plus de 5 300 clés privées qui ne faisaient pas partie de l’exploit ont été trouvées dans l’instance Sentry. 2 358 de ces adresses contiennent des jetons », a-t-il ajouté.

Les résultats suggèrent qu’il existe des milliers de portefeuilles supplémentaires contenant des jetons de crypto-monnaie et pourraient actuellement être vulnérables à des attaques supplémentaires du pirate encore inconnu.

Il est fortement conseillé aux propriétaires d’un portefeuille Slope de transférer tous les jetons dans une autre méthode de stockage dès que possible, comme un registre matériel ou un échange centralisé.

« Nous menons activement des enquêtes et des audits internes, en collaboration avec les meilleurs groupes externes de sécurité et d’audit », a déclaré Slope dans un communiqué officiel.

« Nous travaillons avec des développeurs, des experts en sécurité et des protocoles de tout l’écosystème pour identifier et corriger [the situation].

« Nous sommes toujours en train de diagnostiquer activement et nous nous engageons à publier un post-mortem complet, à regagner votre confiance et à rendre cela aussi juste que possible. »

Dès mercredi, plus de 9 000 portefeuilles avaient été vidésdont le nombre augmente.

Solana a déclaré qu’il menait sa propre enquête sur l’incident, mais « il n’y a aucune preuve que le protocole Solana ou sa cryptographie aient été compromis ».

De nombreuses enquêtes dans l’ensemble de l’industrie sont toujours en cours et d’autres découvertes sont susceptibles d’être révélées à mesure qu’elles se poursuivent.