Les hacks sont malheureusement monnaie courante dans l’écosystème crypto. En septembre 2024, le protocole Bedrock a été la cible d’un hack de près de 2 millions de dollars. Plus récemment, Fuzzland qui était à l’origine du hack a révélé qu’il avait été perpétré par un insider.
- En septembre 2024, le protocole Bedrock a subi un hack de 2 millions de dollars, révélé plus tard comme étant orchestré par un insider grâce à une faille dans un smart contract.
- Dix mois après, Fuzzland a mis en lumière que l’attaque a été facilitée par un employé utilisant des informations privilégiées et des méthodes sophistiquées, entraînant des répercussions judiciaires.
Hack de Bedrock : 2 millions envolés
Bedrock est un protocole de restaking sur Bitcoin et Ethereum. Dans le cadre de son service, le protocole émet une version tokenisée du BTC, le UniBTC.
En septembre 2024, Bedrock a été la cible d’un hack. Au moment des faits, Bedrock dévoile que le hacker a trouvé une faille dans un smart contract, qu’il a ensuite exploité.
Cela lui a permis de drainer un peu moins d’une trentaine de UniBTC pour une valeur totale estimée aux alentours de 2 millions de dollars au moment des faits.
« L’impact total du hack est estimé à environ 2 millions de dollars (principalement en LP DEX). La cause première a été identifiée et nous prenons des mesures pour y remédier. »
Fuzzland révèle les dessous de l’affaire Bedrock
Dix mois après les faits, un autre protocole, Fuzzland, a fait la lumière sur ce hack. En effet, Fuzzland opère une plateforme d’analyse de smart contracts et dans ce cadre, elle discute avec de nombreuses entreprises d’audit.
Selon l’annonce, il semblerait qu’un employé de Fuzzland ait profité d’informations présentes dans un rapport de Dedaub, concernant une vulnérabilité sur un contrat de UniBTC.
Par la suite, il a utilisé une méthode sophistiquée alliant social-engineering, compromission de la chaîne d’approvisionnement et menace interne. Cela lui a permis d’introduire un cheval de Troie dans le code source du projet.
« L’exploit a été rendu possible par la combinaison d’une violation des protocoles TLP:RED par une personne qui a accédé à des informations sur une vulnérabilité identifiée dans un rapport de Dedaub. »
En réaction à cet évènement tragique, Fuzzland a compensé les pertes de Bedrock et a entrepris des recherches plus approfondies pour s’assurer que cela ne se reproduise pas. De surcroît, ils se sont approchés du FBI et de la Justice chinoise pour lancer les poursuites pénales.
À l’avenir, ils vont également faire évoluer leurs processus de recrutement ainsi que leur sécurité interne.
Décidément, les insiders sont de plus en plus nombreux. En mai dernier, Coinbase a dévoilé une faille ayant permis à une branche de son service client d’extraire des données utilisateurs.
L’article Hack de Bedrock : Fuzzland dévoile qu’un ancien employé serait à l’origine du vol de 2 millions de $ est apparu en premier sur Journal du Coin.
