Les validateurs du réseau ont pu identifier une activité inhabituelle dans les méta-outils AMM de la plateforme et empêcher la transaction frauduleuse.
Les protocoles inter-chaînes continuent de faire face à des défis, Synapse Bridge ayant évité de justesse un exploit de plusieurs millions.
Le 7 novembre, Synapse Bridge a annoncé sur Discord qu'il avait empêché un pirate de drainer environ 8 millions de dollars américains du métapool Avalanche Neutral Dollar (nUSD).
Le pirate a tenté d'exploiter une vulnérabilité en utilisant le pont pour transférer des actifs de Polygon (MATIC) à Avalanche (AVAX). Synapse est un pont inter-chaînes conçu pour faciliter les échanges et les transferts entre une série de protocoles de niveau 1 et 2 à l'aide d'un teneur de marché automatisé (AMM).
Synapse Bridge a déclaré : "Au cours des 16 dernières heures, nous avons rencontré et découvert un bogue de contrat dans la façon dont les contrats AMM Metapool traitent les calculs de prix virtuels par rapport au prix virtuel du pool de base."
Dès que les validateurs de Synapse ont pris conscience de l'activité inhabituelle d'AMM, le protocole a mis en pause son support pour toutes les chaînes et s'est mis hors ligne. En arrêtant le réseau, les validateurs ont pu choisir collectivement d'annuler la transaction avant qu'elle ne soit confirmée. De cette façon, les fonds ne seront finalement pas frappés à l'adresse des attaquants sur la chaîne de destination.
"Les validateurs frapperont à la place les nUSD vers les LP d'Avalanche concernés. Tous les LP d'Avalanche en nUSD seront remboursés, sans perte de fonds", a déclaré Synapse Bridge. Les fonds provenant de la transaction rejetée seront utilisés pour rembourser les fournisseurs de liquidités concernés une fois l'audit complet de l'exploit terminé.
Synapse Bridge a maintenant déployé de nouveaux pools nUSD, qui sont un pool stableswap standard de quatre actifs plutôt qu'un metapool.
"C'est la voie la plus sûre, car le contrat stableswap de base (distinct des contrats Metapool) a été minutieusement testé par de nombreuses plateformes différentes", a écrit Aurelius.
Synapse Bridge indique que le réseau est désormais en ligne et reprend une activité normale. Les arriérés d'utilisateurs ou les transactions en attente ont également été traités. Synapse Bridge a informé Saddle, le développeur des contrats Metapool. Saddle a maintenant aussi mis en pause son pool. Seuls les métapools de Saddle ont été affectés par l'exploit.
0 Commentaires