Les attaques dans le domaine des cryptomonnaies ne sont pas nouvelles, mais il est rare de voir des assaillants prendre des risques élevés pour obtenir des gains minimes. Ce scénario atypique s’est produit dimanche dernier.
Un individu a exploité une vulnérabilité de la passerelle inter-chaînes de Hyperbridge, permettant la création de 1 milliard de tokens Polkadot (d’une valeur de 1,19 milliard de dollars) sur Ethereum, pour les revendre ensuite pour environ 237 000 dollars d’ether.
Cet incident s’ajoute à une liste croissante de vulnérabilités observées dans les passerelles en 2026. Le mois dernier, un siphon de 270 millions de dollars a eu lieu sur le Drift Protocol sur Solana, tandis qu’une attaque d’ingénierie sociale, plutôt qu’une exploitation de code, a également mis en avant des infrastructures compromises.
La vulnérabilité ciblait le contrat de la passerelle, sans affecter le réseau principal de Polkadot, dont le token natif, le DOT, est resté intact. Le problème résidait dans la manière dont le contrat EthereumHost de Hyperbridge valide les messages inter-chaînes entrants avant de les transmettre au TokenGateway.
Les passerelles, qui facilitent le transfert de cryptomonnaies entre différentes blockchains, restent le point faible des architectures inter-chaînes, car elles détiennent un contrôle administratif sur les contrats de tokens des chaînes de destination. Une seule défaillance de validation peut permettre à un pirate d’émission un approvisionnement illimité.
[not-theb]
Déroulement de l’attaque
Les traces sur la chaîne montrent que l’assaillant a soumis un message falsifié via dispatchIncoming, qui a été redirigé vers TokenGateway.onAccept.
Le contrôle des reçus, qui aurait dû vérifier le message par rapport à un engagement d’état inter-chaînes valide de Polkadot, contenait une valeur d’engagement à zéro, ce qui laisse entendre que la validation de la preuve était soit absente, soit contournable pour ce chemin d’appel spécifique. La passerelle a traité le message comme légitime.
Le message accepté a exécuté un changement d’administrateur sur le contrat de token Polkadot, transférant les droits d’administration à l’adresse de l’assaillant. Avec ce contrôle administratif, il a émis 1 milliard de tokens en une seule transaction, les acheminant à travers Odos Router V3 vers un pool Uniswap V4 DOT-ETH, récupérant environ 108,2 ETH dans ce qui semble être plusieurs échanges à des prix légèrement variés.
La liquidité, un facteur défavorable pour l’assaillant
Une liquidité ou profondeur insuffisante, c’est-à-dire la capacité du marché à absorber de grandes commandes à des prix stables, est souvent un problème majeur pour les gros investisseurs. Dans ce cas, cela a joué en défaveur de l’assaillant, limitant ses bénéfices.
Le pool DOT sur Ethereum avait une profondeur limitée, ce qui a entraîné une saturation de la liquidité disponible lorsque 1 milliard de tokens ont été injectés, l’assaillant recevant ainsi une fraction de centime par token.
Dans un pool plus profond ou sur un actif transféré ayant une valeur plus élevée, cette même vulnérabilité aurait pu engendrer des pertes beaucoup plus importantes. Le DOT se négocie aux alentours de 1,20 dollar au matin de lundi en Asie.
CertiK a signalé cette exploitation, confirmant que le vecteur d’attaque provenait du contrat de la passerelle Hyperbridge et que l’assaillant avait réalisé un profit d’environ 237 000 dollars en émettant et vendant les tokens transférés.
Hyperbridge n’a pas encore commenté publiquement cette exploitation ni indiqué si d’autres contrats de tokens transférés utilisant la même passerelle étaient également vulnérables à ce type d’attaque par message falsifié.
Points à retenir
- Les attaques sur les passerelles inter-chaînes continuent d’inquiéter la communauté crypto.
- Les failles de sécurité peuvent provenir aussi bien de la vérification des messages que de la gestion des droits administratifs.
- L’importance d’une liquidité suffisante dans les pools de tokens est primordiale pour limiter les pertes lors d’une exploitation.
- L’éducation des utilisateurs sur les risques associés aux ponts inter-chaînes doit être une priorité.
- Toujours s’assurer que des audits réguliers des contrats intelligents sont effectués pour prévenir ce type de vulnérabilité.
- La proactivité des entreprises face aux enjeux de sécurité est essentielle pour maintenir la confiance du public.
En somme, cette affaire soulève des interrogations sur la robustesse des infrastructures inter-chaînes. Les événements récents et la manière dont ils évoluent montrent qu’il est crucial d’améliorer le contrôle et la validation des systèmes en place. La clé réside dans la prévention, la transparence et l’éducation continue des acteurs du secteur pour éviter que de telles situations ne se reproduisent.
[not-theb]
Pas des conseils en investissement
Les informations fournies sur ce site web ne doivent pas être considérées comme des conseils en investissement, des conseils financiers, des conseils en trading ou toute autre sorte de conseil et aucun contenu du site web ne doit être considéré de la sorte. LesNews ne vous recommande pas d'acheter, vendre ou détenir des cryptomonnaies. Faites preuve de vigilance et consultez votre conseiller financier avant de prendre toute décision en matière d'investissement
Avis de non-responsabilité
[/not-theb]Avis de non-responsabilité. LesNews ne cautionne aucun contenu ou produit figurant sur cette page. Bien que nous nous efforcions de vous fournir toutes les informations importantes que nous avons pu obtenir, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action liée à l'entreprise et assumer l'entière responsabilité de leurs décisions, et cet article ne peut être considéré comme un conseil d'investissement..