L'équipe Illuvium draine le pool Uniswap sILV pour empêcher le retrait d'argent des failles.

Après avoir découvert une faille dans sa plateforme de jalonnement, le géant du jeu blockchain de plusieurs milliards de dollars Illuvium a vidé tous les fonds d'un pool Uniswap dans le but d'empêcher un attaquant d'encaisser.

Cette mesure radicale est peut-être une étape nouvelle prise par un projet pour atténuer les dommages causés par le dernier d'une série de piratages, d'exploits et d'attaques qui sévissent depuis longtemps dans la Finance décentralisée (DeFi), et semblent désormais se fondre dans le mouvement « GameFi ».

Dans un tweet publié hier, l'équipe a d'abord déclaré que même si elle avait découvert une vulnérabilité, « aucun fonds n'avait été compromis » et que la création de contrats avait été temporairement suspendue.

Cependant, un enregistrement detransactions datant de novembre montre une série d'adresses avec des contrats personnalisés déposant systématiquement une somme d' ILV, le jeton de gouvernance d'Illuvium, puis retirant une somme plus importante de récompenses ILV séquestrées, ou sILV, que ce qui aurait été normalement autorisé par le programme de jalonnement, avant de transférer le produit vers une nouvelle adresse.

À partir de 14 heures HE mardi, le pool sILV/ ETH Uniswap V3 a été vidé de tous ses fonds dans un sériede transactions importantes, poussant temporairement le prix de négociation du sILV à 0.

Dans un message sur le serveur Discord officiel du projet, le cofondateur Aaron Warwick a écrit : « Afin d'empêcher l'exécution d'une faille de sécurité, nous avons dû prendre la décision de sauver le pool sILV. »

Sur le même sujet : Les jetons SAND et MANA ont bondi en novembre, les traders de Crypto misant sur le potentiel du « métaverse »

Warwick a ajouté sur Discord que l'équipe dispose d'un « portefeuille multisignature de sécurité capable de fonctionner dans des circonstances extrêmes ». L'équipe a utilisé ce portefeuille multisignature, une adresse dotée d'autorisations spécifiques dans le protocole qui nécessite la majorité d'un groupe de signataires pour exécuter des transactions, pour créer des jetons et les vendre contre des ETH, rendant ainsi le sILV sans valeur, car il n'y a pas ETH pour l'échanger.

On ne sait pas encore combien de sILV l'attaquant a pu encaisser en ETH avant que l'équipe ne parvienne à vider entièrement le pool.

« Nous savions que le pirate était prêt à vendre tous ses sILV, et que la somme dont il disposait aurait complètement vidé la réserve », a déclaré Warwick dans une interview accordée à CoinDesk. « Nous avons tenté de les devancer, et ils en ont obtenu une partie, et nous aussi. »

L'équipe évoque déjà des plans de compensation, écrivant sur Discord : « Dès que nous aurons un aperçu des véritables propriétaires de sILV, nous rembourserons tout le monde. » Warwick a refusé de commenter davantage ces plans.

Warwick a également conseillé aux utilisateurs de ne pas acheter de liquidités ajoutées au pool Uniswap . ILV a baissé de 0,8 % sur la journée, à 1 004,33 $.

MISE À JOUR (5 janvier, 15h21 UTC) : Corrige la description du vecteur d'attaque et la référence à ILV séquestré.