Stars Arena, le clone de friend.tech sur Avalanche, se fait siphonner plusieurs millions de dollars d'AVAX
Stars Arena, une plateforme basée sur la blockchain Avalanche, a subi 2 attaques majeures en quelques jours, entraînant plusieurs millions de dollars de pertes. Bien que le smart contract de l'application soit totalement vidé, les équipes de Stars Arena ont annoncé que la plateforme serait bientôt relancée avec la totalité des fonds de ses utilisateurs restituée.
le 7 octobre 2023 à 18:45.
3 minutes de lecture
Stars Arena victime d'une seconde attaque en quelques jours
Stars Arena, une version fork de friend.tech hébergée sur la blockchain Avalanche, s'est fait drainer quasiment 3 millions de dollars peu de temps après son lancement en raison d'une faille dans l'un de ses smart contracts.
Et ce, sachant que 2 jours plus tôt, Stars Arena s'était déjà fait dérober 2 000 dollars pour une faille similaire. Alors que les équipes du projet s'étaient défendues en affirmant que des acteurs malveillants avaient effectué une « attaque coordonnée » à leur égard, de nombreux observateurs, notamment 0xlilitch ou 0xfoobar, ont virulemment attaqué Stars Arena.
0xfoobar par exemple, le fondateur de Delegate, les a accusés d'avoir copié un smart contract fonctionnel et d'y avoir ajouté des opportunités d'attaque :
« Vous avez pris un contrat de base entièrement fonctionnel et avez ajouté d'une manière ou d'une autre de nouveaux vecteurs d'attaque dans votre fork non vérifié. Supprimez votre compte et votre produit, c'est un vrai cirque. »
Tout comme son concurrent friend.tech, Stars Arena permet de faire l'acquisition de parts (Shares) de profils de personnalités présentes sur l'application. Plus les personnes possédant des Shares d'un même profil sont nombreuses, plus le prix d'une Share de ce même profil augmente en conséquence.
Cette fois, selon la firme de sécurité blockchain PeckShield, l'attaquant aurait effectué une attaque par réentrance, lui permettant de revendre des Shares à des prix bien plus importants que leur prix réel.
Our initial analysis on today's @starsarenacom $2.9M hack indicates a reentrancy issue on the Stars Arena: Shares contract at https://t.co/Hg6C8MCPan
The reentrancy is abused to update the weight when the share/ticket is issued so that 1 share can be sold at a much higher price… https://t.co/17CxO3uLbe pic.twitter.com/fouVjevYTs
— PeckShield Inc. (@peckshield) October 7, 2023
Stars Arena a ensuite confirmé l'attaque sur X, invitant ses utilisateurs à ne plus déposer de fonds sur sa plateforme.
👉 Découvrez notre fiche pour tout comprendre à l'écosystème d'Avalanche (AVAX)
Ledger : la meilleure solution pour protéger vos cryptomonnaiesMême avec un smart contract vidé, le projet compte repartir de plus belle
Cet après-midi, Stars Arena a communiqué de nouveau sur X pour rassurer ses utilisateurs. Selon les équipes en charge du projet, l'application réouvrira sous peu avec « tous les fonds dans leur intégralité » :
Important news: we have secured the resources to close the gap caused by the exploit.
Additionally, a special white hat development team is coming in to rapidly review the security of the platform.
We will re-open the contract with all the funds in full after a full security…
— Stars Arena (@starsarenacom) October 7, 2023
« Nouvelle importante : nous avons obtenu les ressources nécessaires pour combler l'écart causé par l'exploit. De plus, une équipe spéciale de développeurs white hat arrive pour examiner rapidement la sécurité de la plateforme. Nous rouvrirons le contrat avec tous les fonds dans leur intégralité après un audit de sécurité complet. Cela arrivera très bientôt. Rendez-vous sur les Spaces dans quelques heures. Nous n'allons nulle part. L'Arena continue sa marche. »
Emin Gün Sirer, le fondateur d'Avalanche, est venu au secours de la plateforme sur X, affirmant que « Stars Arena est un produit rentable » et que le montant dérobé, à savoir quasiment 3 millions de dollars, pouvait être récupéré « à peu près en une dizaine de jours » grâce à la rentabilité de l'application.
Évolution de la valeur totale verrouillée (TVL) sur Stars Arena
Tout comme nous avions pu le voir sur la blockchain Ethereum pour friend.tech lors de ses pics d'activité les plus importants, l'entrain généré par le lancement de Stars Arena a momentanément causé une hausse des frais de transaction sur Avalanche. Cela avait également conduit à une hausse du cours du token AVAX, bien que celui-ci soit désormais redescendu. L'AVAX s'échange autour de 10,4 dollars à l'heure de l'écriture de ces lignes.
👉 Dans l'actualité – Vague de licenciements : le studio NFT Yuga Labs annonce à son tour une restructuration
Cryptoast Research : Ne gâchez pas ce bull run, entourez vous d'experts
Recevez un récapitulatif de l'actualité crypto chaque lundi par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.
Rédacteur en chef de Cryptoast, je m'emploie à démocratiser le monde des cryptomonnaies et du Web3 pour tous.
Maximilien Prué
1209 articles
