RocketSwap, un exchange décentralisé basé sur la blockchain Base, a subi un hack qui a valu 472 ETH à ses utilisateurs.
Dès son lancement, la blockchain Base de Coinbase a attiré des centaines de développeurs en un temps record. Néanmoins, le réseau 💻 Layer 2 est rapidement devenu une cible privilégiée des hackers et des scammers.
RocketSwap sous le feu des critiques
D’après la plateforme de cybersécurité Web3 Beosin, les hackers auraient volé plus de 472 ETH (environ 869 000 $) à l’ 💱 exchange décentralisé RocketSwap.
Comme on peut le voir dans la capture d’écran ci-dessous, les attaquants ont d’abord volé les clés privées du DEX. Ils ont ensuite dérobé 472 ETH aux utilisateurs, avant de les transférer vers Ethereum via le pont Stargate.
Après avoir présenté ses excuses aux utilisateurs lésés, RocketSwap a déclaré :
“Notre serveur a subi une attaque par force brute [une attaque consistant à tester plusieurs combinaisons de mots de passe en vue de pirater un serveur]. De même, le contrat du proxy utilisé par le pool de farming contenait plusieurs autorisations à haut risque qui ont conduit au transfert des actifs”.
Peu de temps après l’attaque, l’équipe RocketSwap a désactivé son compte Telegram et suspendu les commentaires sur sa page Twitter. Avec cette décision, la plateforme s’est attirée les foudres des utilisateurs.
“Il s’agit probablement de la pire réaction que j’ai jamais vue. Ils ont fermé leur compte Telegram et se disent “désolés pour notre perte”, comme s’ils n’avaient rien à voir avec tout ça”, a tweeté l’un des utilisateurs.
La valeur totale verrouillée (TVL) de RocketSwap a baissé de plus de 25 % au cours des dernières 24 heures. À en croire DefiLlama, celle-ci s’élève actuellement à environ 2,48 millions de dollars.
Comment expliquer le hack de RocketSwap ?
Pour les projets 🌐 Web3, et même pour les investisseurs particuliers, le bon stockage des clés privées est essentiel. Idéalement, les clés privées ou les phrases clés secrètes doivent être stockées hors ligne pour minimiser les risques de sécurité.
RocketSwap, en revanche, stockait ses clés privées sur un serveur connecté à Internet. Une erreur impardonnable pour une plateforme qui gère des centaines de transactions par jour.
Le dernier hack a également levé le voile sur les mesures de sécurité discutables de RocketSwap. Dans un tweet publié le 8 août, l’un des utilisateurs du DEX a partagé des captures d’écran des messages supprimés de RocketSwap. Celles-ci montrent que l’équipe a transféré 69 000 $ de jetons RCKT à des escrocs.
Les scammers, qui se faisaient passer pour des membres de l’équipe KuCoin, ont dit aux dirigeants de RocketSwap qu’ils voulaient répertorier la crypto RCKT sur KuCoin. Ainsi, ils leur ont demandé de leur envoyer l’équivalent de 69 000 $ de jetons RCKT pour créer un marché de liquidité. L’équipe RocketSwap a réalisé plus tard qu’elle avait été victime d’une arnaque bien rodée.
Néanmoins, Dashen De Silva, l’un des utilisateurs du DEX, pense que ce récit est fabriqué de toutes pièces. Selon lui, l’équipe du projet aurait sciemment transféré les jetons à l’une de ses adresses.
Hack ou rug pull ?
Avec deux incidents en seulement huit jours, les utilisateurs de RocketSwap commencent à se poser des questions. Certains pensent même que l’équipe a orchestré un rug pull et que le DEX n’a jamais subi de hack.
D’après l’un des utilisateurs, l’équipe n’a commencé à parler du changement de proxy que quelques heures avant l’attaque. “Il s’agit fort probablement d’un rug pull prémédité”, a-t-il ajouté.
Bien entendu, la suspension du compte Telegram et des commentaires Twitter n’arrange pas les choses pour RocketSwap. Certains accusent même l’équipe d’avoir volontairement modifié le volume de trading.
Néanmoins, Base, le réseau Layer 2 de 🪙 Coinbase, est également pointé du doigt. Bien qu’il soit relativement nouveau, le réseau a déjà été ciblé par des dizaines d’attaques.
Par exemple, LeetSwap, un DEX hébergé sur le réseau Base, a perdu 340 ETH (environ 600 000 $) ce 1er août. Et pour cause ; une faille de sécurité dans l’un de ses 📄 smart contracts. Peu de temps après, un scammer a lancé un meme coin appelé BALD sur le réseau et a disparu avec 23 millions de dollars de fonds d’investisseurs.
“L’événement Onchain Summer de Base s’est transformé en un Rug Pull Summer. BALD, LeetSwap, RocketSwap… environ 99% des projets basés sur le réseau pourraient être des rug pulls”, a averti l’un des utilisateurs.
Coinbase a lancé le mainnet de son réseau Layer 2 ce 9 août. En seulement 24 heures, le réseau a franchi la barre des 136 000 utilisateurs actifs quotidiens.
Morale de l’histoire : Certains intrus peuvent malheureusement ternir la réputation de tout un secteur.
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.