🚨 Alerte cas réel | Attaque interne de 625 millions de dollars : Comment un développeur a introduit une porte dérobée dans le contrat
L’année dernière, le projet de jeu on-chain Munchables de Blast a été victime d’une attaque interne. Un développeur a inséré une porte dérobée malveillante dans le contrat du projet et, après son lancement, a dérobé la totalité des fonds : 17 400 ETH (environ 625 millions de dollars). Sous la pression, l’attaquant a restitué les fonds de manière inattendue.
🔍 Vulnérabilité du noyau : Il ne s’agissait pas d’une intrusion par piratage, mais d’une attaque préméditée ciblant la chaîne d’approvisionnement. L’attaquant a gagné la confiance des développeurs en se faisant passer pour un développeur principal et a implanté un code malveillant, tel un cheval de Troie, dans le noyau du projet.
💡 Avertissements de sécurité concernant le noyau :
La confiance doit être vérifiée : Pour tout membre du noyau autorisé à soumettre du code, l’examen technique doit avoir la même importance que la vérification des antécédents.
Les autorisations doivent être contrôlées et équilibrées : le contrôle de la trésorerie du projet ne doit jamais être concentré entre les mains d’une seule personne ni par une seule clé. Un système de gouvernance basé sur des portefeuilles multi-signatures et des délais de verrouillage temporel doit être adopté sans condition.
La sécurité est un processus continu : un audit unique ne peut garantir une sécurité permanente. Un système de surveillance continue sur la blockchain et un mécanisme d’alerte en temps réel doivent être mis en place pour les opérations privilégiées (telles que les mises à jour de contrats et les transferts de fonds importants).