Signalé par The Block : Un oracle de rapport de protocole pour le protocol de mise en jeu Ethereum Lido a été compromis samedi, déclenchant un vote du DAO de Lido pour faire tourner l'adresse.
Seulement environ 1,5 ETH ont été perdus dans l'attaque, que l'opérateur de l'oracle Chorus One a qualifiée d'"incident isolé".
"Le protocole reste sécurisé et entièrement opérationnel", a déclaré Lido.
Le protocole de mise en jeu Ethereum Lido reste "entièrement sécurisé et opérationnel" après qu'un attaquant a compromis l'un de ses oracles de rapport de protocole, vidant près de 1,5 ETH et déclenchant un vote d'urgence du DAO pour faire tourner l'adresse de l'oracle.
Chorus One, qui opère l'oracle, a déclaré que l'attaque semble être un "incident isolé" sans autres menaces pour le protocole. "Nous avons audit�_ de manière approfondie l'ensemble de notre infrastructure et n'avons trouvé aucune preuve d'une compromission plus large", a écrit Chorus One sur X.
L'attaquant a vidé 1,46 ETH d'une valeur d'environ 3 800 $ de l'adresse compromise, montrent les données de la blockchain. "L'enquête est toujours en cours sur tous les fronts ; nous partagerons un rapport complet après avoir conclu l'enquête", a ajouté Chorus One sur le forum de gouvernance de Lido. "L'activit�_ de l'exploitant semble indiquer un système automatisé, plutôt qu'une attaque ciblée."
Bien que l'attaquant ait été capable de vider le solde ETH de l'adresse de l'oracle (qui était délibérément maintenu à un faible niveau, selon Chorus One), l'attaque n'a pas menacé les opérations de Lido, car ses oracles de rapport de protocole nécessitent un consensus de 5 sur 9.
"Dans le pire des cas, [les oracles compromis] peuvent signifier que des reconstitutions de stETH (qu'elles soient positives ou négatives) prennent plus de temps pour se matérialiser, ce qui affectera les détenteurs de stETH mais surtout de manière négligeable, à l'exception de ceux qui pourraient utiliser stETH de manière flexible dans la DeFi", a écrit Izzy, responsable des validateurs de Lido sur X.
Le vote du DAO de Lido pour faire tourner l'adresse compromise bénéficie actuellement d'un soutien unanime, bien qu'il n'ait pas encore atteint le quorum.
"Les oracles sont complexes et varient dans leur utilisation à travers la DeFi", a écrit Izzy. "Dans Lido, ils sont une partie minutieusement considérée du protocole, et l'impact négatif potentiel est significativement atténué grâce à une décentralisation efficace, à la ségrégation des fonctions et à plusieurs couches de vérifications".