Seedify, un incubateur web3 reconnu pour son soutien aux projets de gaming et de métavers, a confirmé que le pont de jetons SFUND a été victime d'une faille le 23 septembre. Les attaquants ont réussi à dérober plus de $1.2 million en créant des jetons non autorisés et en les transférant sur plusieurs chaînes. Ce piratage, qui a ébranlé la confiance de la communauté, a été lié à un groupe affilié à l'État nord-coréen, connu pour cibler les infrastructures web3.
Seedify victime d'une faille de $1.2 million
Payez moins cher vos jeux.
Jusqu'à 80% de remise
Comment les attaquants ont obtenu l'accès
La faille s'est produite lorsqu'une clé de développeur dérobée a été utilisée pour prendre le contrôle du contrat de pont OFT de Seedify. Bien que le contrat ait précédemment passé des audits de sécurité, les attaquants ont pu contourner les contrôles habituels en exploitant les permissions liées à la clé compromise. Cela leur a permis de créer une grande quantité de nouveaux jetons SFUND sur Avalanche sans réellement transférer de fonds entre les chaînes.
Les jetons ont été rapidement transférés vers Ethereum, Arbitrum et Base, où les pools de liquidité ont été vidés. L'étape finale et la plus dommageable s'est déroulée sur la BNB Chain, où les jetons ont été rapidement vendus avant que des contrôles ne puissent être appliqués.
Les retombées ont été immédiates. Le prix du SFUND a chuté de près de 60 % en moins d'une journée, tombant brièvement à $0.0537 avant de remonter près de $0.25. Environ 64,000 détenteurs de jetons sur la BNB Chain ont été directement touchés, leurs avoirs ayant perdu de la valeur ou ayant été dilués par l'afflux soudain de jetons. Bien qu'une partie des fonds volés, estimée à $200,000, ait été gelée par HTX, la majorité reste non récupérée.
Seedify victime d'une faille de $1.2 million
Réponse d'urgence de l'équipe
Seedify a réagi rapidement une fois l'exploit identifié. Les opérations du pont ont été suspendues, l'activité des jetons sur les chaînes touchées a été mise en pause et les permissions compromises ont été révoquées. Les portefeuilles des attaquants ont été mis sur liste noire et les échanges sur les plateformes centralisées ont été temporairement interrompus pour réduire la volatilité du marché.
L'équipe a souligné que l'exploit n'a affecté qu'un seul portefeuille compromis. Les portefeuilles des utilisateurs, les contrats principaux et l'ensemble du protocole Seedify n'ont pas été directement impactés. Les audits de sécurité sont en cours de révision, avec l'intervention de partenaires externes pour examiner l'infrastructure de la plateforme.
Les enquêtes menées par des analystes blockchain ont lié l'attaque à un groupe soutenu par l'État nord-coréen. Ce même groupe a été associé à plusieurs autres exploits web3 de haut niveau, et la rapidité de l'opération Seedify correspond aux tactiques utilisées lors d'incidents antérieurs.
Seedify victime d'une faille de $1.2 million
L'effort de récupération Phoenix Raise
En réponse à l'attaque, le fondateur de Seedify, Meta Alchemist, a annoncé une initiative de récupération appelée Phoenix Raise. Ce plan est conçu pour indemniser les utilisateurs ayant perdu des fonds, renforcer les systèmes de sécurité de la plateforme et stabiliser l'économie du SFUND par le biais de rachats. L'équipe a également confirmé qu'une migration complète du jeton SFUND est en préparation, bien qu'aucun calendrier n'ait été communiqué.
Seedify a déclaré que le Phoenix Raise financera également la croissance et les efforts marketing alors que la plateforme évolue vers un modèle de launchpad sans permission. En attendant que les détails de la migration soient finalisés, il est conseillé aux utilisateurs d'interagir uniquement avec le SFUND sur la BNB Chain.
Seedify victime d'une faille de $1.2 million
La situation globale pour la sécurité web3
L'exploit de Seedify est un rappel des vulnérabilités auxquelles sont confrontées les plateformes web3, en particulier les ponts inter-chaînes. Même les contrats ayant passé des audits restent exposés si les clés privées sont compromises. L'incident a renouvelé les appels pour que les projets adoptent des mesures de protection plus strictes, telles que les approbations multi-signatures et les transactions différées pour les opérations critiques.
L'exploit de Seedify n'est pas le seul problème de sécurité à avoir fait les gros titres cette semaine. Un streamer Twitch connu sous le nom de RastalandTV a perdu plus de $32,000 en crypto en plein stream après avoir téléchargé un jeu infecté par un malware sur Steam. Les fonds volés étaient des dons récoltés pour son traitement contre le cancer, ce qui a suscité l'indignation et conduit à des efforts de collecte de fonds menés par la communauté. Le malware a depuis été lié à plus de 260 cas et à plus de $150,000 de pertes totales.
Foire aux questions (FAQ)
Que s'est-il passé avec Seedify ?
Le pont SFUND de Seedify a été victime d'une faille le 23 septembre après que des attaquants ont obtenu l'accès à une clé de développeur. Des jetons non autorisés ont été créés et vendus sur plusieurs chaînes, entraînant plus de $1.2 million de pertes.
Qui a piraté Seedify ?
Seedify a attribué l'exploit à un groupe de piratage lié à l'État nord-coréen, connu pour de précédentes attaques web3. Les analystes blockchain ont appuyé cette conclusion.
Qu'est-ce que le Phoenix Raise ?
Le Phoenix Raise est le plan de récupération de Seedify visant à indemniser les utilisateurs touchés par l'exploit, à améliorer la sécurité, à stabiliser le SFUND par des rachats et à financer la croissance future de la plateforme.
Le SFUND est-il toujours sûr à utiliser ?
Seedify a conseillé aux utilisateurs d'utiliser uniquement le SFUND sur la BNB Chain jusqu'à ce que la migration du jeton soit terminée. Les contrats principaux et les portefeuilles des utilisateurs n'ont pas été directement compromis lors de l'attaque.
Seedify va-t-il récupérer les fonds perdus ?
Environ $200,000 des actifs volés ont été gelés par HTX, mais la majeure partie des fonds reste non récupérée. L'initiative Phoenix Raise est destinée à couvrir les pertes des utilisateurs et à renforcer l'écosystème à l'avenir.
