Le protocole DePIN GnusAI a été victime d’un piratage de 1,3 million de dollars
DePIN GnusAI a été victime d’un piratage ! Récemment, une nouvelle catégorie de cryptomonnaies a émergé : les protocoles de DePIN (Decentralized Physical Infrastructure Networks), qui visent à décentraliser les infrastructures. Par exemple, le projet GnusAI offre la possibilité de louer des GPU de manière décentralisée, permettant ainsi d’entraîner ou de faire fonctionner des modèles d’IA. Malheureusement, ce projet a récemment été victime d’une attaque informatique.
1,27 MILLION DE DOLLARS DÉROBÉS DANS UN HACK SUR GNUSAI
Le 5 mai, l’équipe de GnusAI a alerté sa communauté après avoir été victime d’une attaque informatique
Selon les premières informations, le pirate aurait réussi à créer de nouveaux jetons GNUS. Après leur création, il les aurait immédiatement vendus sur les pools de liquidités existants sur Ethereum.
Peu après l’attaque, l’entreprise Certik, spécialisée dans la sécurité des blockchains, a dévoilé le mode opératoire. Il semblerait que l’attaquant ait pu obtenir la clé privée d’une des adresses des développeurs du protocole.
Avec cette adresse en sa possession, il aurait pu copier le sel du contrat du gestionnaire de jetons et déployer un nouveau contrat de gestion de jetons sur la blockchain Fantom. Pour rappel, le sel est une chaîne de caractères (nonce) utilisée lors du déploiement d’un contrat intelligent pour garantir que l’adresse du contrat déployé soit unique.
À présent, l’attaquant a le contrôle sur ce nouveau contrat, lui permettant de créer 500 000 jetons GNUS. Puisqu’il s’agit d’une réplique exacte du contrat original, ces jetons sont considérés comme valides.
En conséquence, l’attaquant a pu transférer ces jetons sur Ethereum en utilisant le pont d’Axelar. Une fois les GNUS sur Ethereum, le pirate les a massivement vendus sur Uniswap, lui rapportant 407 ETH, soit près de 1,3 million de dollars.
D’après les informations partagées par SuperGenius.eth, le fondateur de GnusAI, il semble que le pirate ait obtenu la clé privée en piratant le serveur Discord du projet. Cela lui aurait permis d’accéder aux messages privés et de récupérer la clé privée partagée. Il est à noter que partager une clé privée en clair sur Discord n’est pas très « SuperGenius », mais passons.
Les développeurs sont à la recherche d’une solution
En quelques instants seulement, le cours du GNUS a chuté de 22 à 1 $. Désormais, les équipes de GNUS s’efforcent de trouver une solution pour remédier au piratage.
Suite à un AMA communautaire organisé via un espace Twitter, il a été décidé de maintenir les contrats intelligents actuels du jeton GNUS.
De leur côté, l’équipe envisage de traiter l’excédent de jetons créés par le pirate en effectuant un rachat et une destruction. Cette initiative vise à racheter les jetons sur les marchés DEX pour les détruire, ramenant ainsi l’offre à son niveau d’avant le piratage.
Pour les utilisateurs ayant vendu leurs jetons dans la panique, GnusAI a mis en place un formulaire permettant de racheter les jetons au prix unitaire de 1$. Parallèlement, ils ont annoncé une prime de bug bounty de 10% au pirate. Ainsi, ce dernier pourrait restituer 90% des fonds volés et éviter des poursuites judiciaires.
