Akropolis a proposé au pirate qui a volé 2 millions de dollars en cryptomonnaie Dai une récompense de type « bug bounty » en échange des fonds manquants.
Dans une lettre ouverte publiée sur Medium, la plateforme qui se définit comme un service « d’économie communautaire » a proposé une « récompense » de 200 000 dollars pour la coopération de l’acteur malveillant.
Décrivant l’offre « comme une compensation pour votre exploitation », Akropolis « espère que le pirate prendra l’offre en considération et coopérera avec l’équipe pour résoudre le problème ».
Une attaque « flash loan »
La plateforme a révélé le vol de cryptomonnaie la semaine dernière. Comme précédemment signalé par ZDNet, les transactions ont été temporairement interrompues pour empêcher le vol d’autres tokens Dai, ceux-ci ayant été dérobés grâce à une attaque connue sous le nom d’attaque « flash loan ».
Les attaques de type « flash loan » visent les plateformes de finance décentralisée (DeFi). Un attaquant emprunte des fonds, et exploite ensuite une faille de sécurité pour contourner les mécanismes de prêt et s’échapper avec les cryptomonnaies qu’il a « empruntées ».
Depuis la cyberattaque, Akropolis a mené une enquête interne et s’emploie actuellement à régler les vulnérabilités au niveau des contrats. L’entreprise a également lancé une analyse externe de l’incident avec des partenaires et des investisseurs.
Proposition de coopération
Cependant, Akropolis a choisi de ne pas se tourner vers les forces de l’ordre pour le moment, dans l’espoir que le cyberattaquant acceptera sa proposition.
« Nous aimerions vous proposer de rendre les fonds des membres de notre communauté dans les 48 heures et en retour, nous vous offrirons une prime de 200 000 dollars », propose Akropolis. « Nous prendrons les mesures nécessaires pour protéger votre identité. Si vous décidez de ne pas coopérer, nous engagerons des poursuites pénales et contacterons les forces de l’ordre. »
On ne sait pas encore, plus de 48 heures plus tard, si le responsable de l’attaque a accepté la proposition, ni quelle sera la prochaine action d’Akropolis. Au moment où nous écrivons ces lignes, les tokens Dai volés sont toujours détenus dans un portefeuille sur liste noire contrôlé par l’attaquant.
Akropolis renforce sa sécurité
Dans une mise à jour publiée le 16 novembre, Akropolis précise que l’attaquant a été en mesure d’exploiter « le traitement défectueux de la logique de dépôt dans le contrat intelligent SavingsModule ».
« L’exploitation conduit à la création d’un grand nombre de tokens qui ne sont pas soutenus par des actifs de valeur », ajoute la société.
Des contrôles des dépôts de token et des fonctions de liste blanche ont maintenant été mis en œuvre. Akropolis travaille actuellement à l’ajout de tests pour les staking pools, au renforcement des contrôles de sécurité et à trouver un moyen d’indemniser les utilisateurs. La plateforme est également à la recherche de deux nouveaux développeurs seniors pour rejoindre l’équipe.
Source : ZDNet.com
(function(d, s, id) { var js, fjs = d.getElementsByTagName(s)[0]; if (d.getElementById(id)) return; js = d.createElement(s); js.id = id; js.src = "http://connect.facebook.net/fr_FR/all.js#appId=243265768935&xfbml=1"; fjs.parentNode.insertBefore(js, fjs); }(document, 'script', 'facebook-jssdk'));