Les protocoles inter-chaînes continuent de faire face à des défis, avec Synapse Bridge évitant de justesse un exploit de plusieurs millions.
Le 7 novembre, Synapse Bridge a annoncé sur Discord avoir empêché un pirate informatique de drainer environ 8 millions de dollars américains du Metapool Avalanche Neutral Dollar (nUSD).
Le pirate a tenté d’exploiter une vulnérabilité en utilisant le pont pour transférer des actifs de Polygon (MATIC) vers Avalanche (AVAX). Synapse est un pont inter-chaînes conçu pour faciliter les échanges et les transferts entre une gamme de protocoles de couche 1 et 2 à l’aide d’un teneur de marché automatisé (AMM).
Synapse Bridge a déclaré : « Au cours des 16 dernières heures, nous avons rencontré et découvert un bogue de contrat dans la manière dont les contrats AMM Metapool traitent les calculs de prix virtuels par rapport au prix virtuel du pool de base.
Dès que les validateurs de Synapse ont pris connaissance de l’activité inhabituelle d’AMM, le protocole a suspendu sa prise en charge de toutes les chaînes et s’est déconnecté. En fermant le réseau, les validateurs ont pu collectivement choisir d’annuler la transaction avant qu’elle ne puisse être confirmée. De cette façon, les fonds ne seront finalement pas frappés à l’adresse des attaquants sur la chaîne de destination.
« Les validateurs renverront le nUSD aux LP Avalanche concernés. Tous les LPs d’Avalanche nUSD seront rendus entiers, sans perte de fonds », a déclaré Synapse Bridge. Les fonds de la transaction rejetée seront utilisés pour rembourser les fournisseurs de liquidités concernés une fois l’audit complet de l’exploit terminé.
Synapse Bridge a maintenant déployé de nouveaux pools nUSD, qui sont un pool stable standard de quatre actifs plutôt qu’un métapool.
THORChain conclut 2 audits de sécurité suite aux exploits de l’été
“C’est la voie la plus sûre car le contrat stableswap de base (distinct des contrats Metapool) a été soigneusement testé au combat par de nombreuses plates-formes différentes”, a écrit Aurelius.
Synapse Bridge indique que le réseau est maintenant en ligne et reprend une activité normale. Les arriérés des utilisateurs ou les transactions en attente ont également été traités. Synapse Bridge a prévenu Saddle, le développeur des contrats Metapool. Saddle a maintenant également mis sa piscine en pause. Seuls les métapools de Saddle ont été affectés par l’exploit.
