6,2 millions de dollars de fonds SagaEVM volés tracés jusqu'aux dépôts Tornado Cash

Source : CryptoNewsNet Titre original : $6.2M des fonds volés lors de l’exploit SagaEVM ont été déposés dans Tornado Cash Lien original : $6,2 millions des fonds volés lors de l’exploit SagaEVM ont été tracés jusqu’à des dépôts dans Tornado Cash, un mélangeur de confidentialité sur Ethereum qui aide à obscurcir les traces des transactions.

La tactique est courante chez les hackers cherchant à blanchir des fonds volés importants et à rendre la récupération presque impossible.

L’exploit ciblant SagaEVM, décrit comme un L1 pour lancer des L1s, a eu lieu le 21 janvier. Après l’incident, l’équipe a publié que le L1 avait été mis en pause au bloc hauteur 6593800 en réponse à l’exploit confirmé sur le chainlet SagaEVM.

Comment les hackers ont blanchi les fonds volés

Selon le rapport de la société de sécurité blockchain CertiK, les attaquants ont initialement réparti les fonds sur cinq portefeuilles distincts avant de les acheminer vers le mélangeur de confidentialité via plusieurs transactions.

“Une mitigation est en cours, et l’équipe se concentre pleinement sur une solution”, ont écrit l’équipe à l’époque.

L’exploit a vu près de 7 000 000 $ en USDC, yUSD, ETH et tBTC transférés vers le réseau principal Ethereum. Le portefeuille de l’exploitant a été identifié et alimenté en données vers des échanges et des ponts pour le mettre sur liste noire et éventuellement récupérer les fonds volés.

Selon le rapport de CertiK, 6,2 millions de dollars de ces fonds ont été divisés en dépôts alimentant le mélangeur Tornado Cash. Cela devrait compliquer les efforts de remédiation et de récupération.

Le dernier dépôt renforce la notoriété de Tornado Cash, qui a déjà été entachée par des sanctions américaines et des problèmes juridiques qui continuent de hanter ses développeurs.

Les attaquants continuent de l’utiliser pour obscurcir leurs traces après l’exploit, et il fait exactement ce pour quoi il a été conçu — les aider à disparaître.

Que s’est-il passé avec SagaEVM ?

Selon un rapport post-mortem partagé par l’équipe le 21 janvier, l’incident impliquait une séquence coordonnée de déploiements de contrats, d’activités cross-chain, et de retraits de liquidités ultérieurs.

Le document a révélé que l’équipe avait mis la chaîne en pause par précaution tout en enquêtant et en atténuant activement. Il a indiqué que l’objectif était d’empêcher toute impact supplémentaire en maintenant SagaEVM en pause pendant la mise en œuvre de la mitigation ; de valider la portée totale de l’incident à l’aide de données d’archives et de traces d’exécution ; et de renforcer les composants concernés avant un redémarrage.

Les principaux composants affectés par l’exploit incluent le chainlet SagaEVM, ainsi que Colt et Mustang. D’autres, comme le réseau principal Saga SSC, le consensus du protocole Saga, la sécurité des validateurs, et d’autres chainlets Saga, n’ont pas été affectés.

“Il n’y a eu aucune défaillance de consensus, compromission du validateur, ou fuite de clé de signature”, indique le document. “Le réseau Saga dans son ensemble reste structurellement sain.”

L’équipe a déclaré que ses prochaines étapes seraient de compléter la validation de la cause racine, de corriger et de renforcer les composants cross-chain et de déploiement affectés, de coordonner avec les partenaires de l’écosystème si pertinent, et de publier un rapport technique post-mortem plus complet.

La vulnérabilité remonte à Cosmos

Après avoir reçu le soutien des ingénieurs de Cosmos Labs, l’équipe a révélé que le problème provenait du code source original d’Ethermint, en faisant un problème hérité.

En réponse à ce post, Cosmos Labs a publié une déclaration, admettant qu’ils sont conscients de l’incident et affirmant qu’ils travaillent en étroite collaboration avec Saga et des partenaires de sécurité externes pour enquêter et remédier à la “vulnérabilité confirmée”.

Ils ont révélé avoir contacté un sous-ensemble de chaînes EVM qu’ils considéraient comme affectées par l’incident et ont fourni des mitigations à court terme.

“Comme toujours, nous recommandons à tous les projets de continuer à mettre en œuvre des pratiques de sécurité de base telles que la limitation du taux et la surveillance de la sécurité pour renforcer la détection et la mitigation précoces”, ont-ils écrit.