Selon Foresight News, CertiK a annoncé que son compte X a été restauré à la normale, et que toutes les fausses informations précédemment publiées par les pirates ont été supprimées. Le compte X de CertiK a été brièvement volé, période pendant laquelle les pirates ont publié de faux messages contenant des liens de phishing.
En effet le compte X (exTwitter) de CertiK, une société de sécurité blockchain, a été piraté et utilisé pour diffuser de fausses informations sur une vulnérabilité du contrat du routeur Uniswap.
Les pirates ont affirmé que le contrat était susceptible d'être attaqué par réentrée* et ont fourni un faux lien RevokeCash à titre de tentative de phishing.
DERNIERE MINUTE :
Touours selon Foresight News, CertiK a signalé qu'un de ses employés avait été ciblé par une attaque de phishing provenant d'un compte vérifié associé à un média bien connu. Malheureusement, le compte semble avoir été compromis, ce qui a conduit à la cyberattaque contre l'employé. CertiK a rapidement découvert la vulnérabilité et supprimé les tweets associés en quelques minutes. L'enquête a révélé qu'il s'agissait d'une attaque à grande échelle et en cours. Selon leurs conclusions, l'incident n'a pas entraîné de pertes significatives.
*Concernant la reentrancy Attack ou attaque de réentrée, voici les recommandations de la communauté OWASP (Open Worldwide Application Security Project) :
Une attaque de réentrée se produit lorsqu'une fonction est invoquée en externe lors de son exécution, ce qui lui permet d'être exécutée plusieurs fois en une seule transaction. Cela se produit généralement lorsqu'un contrat appelle un autre contrat avant de résoudre son état.
Impact :
Une attaque de réentrée réussie peut entraîner des fuites de fonds, des appels de fonctions non autorisés ou des changements d'état qui perturbent le fonctionnement normal du contrat.
Étapes à suivre :
- Assurez-vous de suivre le modèle Contrôles-Effets-Interactions (CEI) : vérifiez les conditions, puis apportez des modifications, puis interagissez avec d'autres contrats.
- Utilisez un garde de réentrée ou un verrou d'exclusion mutuelle (mutex) pour bloquer les appels récursifs provenant de contrats externes pendant l'exécution d'une fonction.
- Mettez régulièrement à jour vers la dernière version de Solidity, qui inclut une protection inhérente contre les attaques de réentrance.
Exemple :
Le tristement célèbre hack DAO était une attaque de réentrée. Un attaquant a exploité une vulnérabilité de réentrée pour drainer environ 3,6 millions d'Ether du contrat.
Note de Coin Academy : Le mot “Réentrée” fait référence à une caractéristique qui est présente dans les caractéristiques des smart contrats. Cette caractéristique donne la possibilité à certaines fonctions des smart contrats d’être exécutées plusieurs fois, ce qui est en réalité une faille qui est profitable pour les hackers. Lien : https://coinacademy.fr/lexique/reentrancy-attack/