Bittensor divulgue les détails d'une faille de sécurité qui a entraîné une perte de 8 millions de dollars de jetons TAO

L'incident a temporairement suspendu les opérations du réseau un mois seulement après une faille de sécurité similaire, coûtant au projet 11 millions de dollars.

Le projet de blockchain d'IA Bittensor a divulgué les détails d'une récente faille de sécurité qui a entraîné une perte d'au moins 8 millions de dollars dans son jeton natif, TAO. L'incident a entraîné une suspension temporaire des opérations du réseau, survenant à peine un mois après qu'une précédente violation ait coûté 11 millions de dollars au projet.

Maintenant, Bittensor a publié un rapport détaillé décrivant la nature et la cause du dernier exploit.

Cause première du piratage du portefeuille de Bittensor

Le rapport identifie la cause première de l'attaque comme étant un package malveillant dans la version 6.12 du gestionnaire de packages PyPi. .2. Le package compromis contenait du code conçu pour voler des détails de clé froide non chiffrés.

Lorsque les utilisateurs téléchargeaient ce package et déchiffraient leurs clés froides, le bytecode déchiffré était transmis à un serveur distant contrôlé par l'attaquant. Cette vulnérabilité a principalement affecté les utilisateurs qui ont téléchargé le package Bittensor PyPi entre le 22 et le 29 mai et effectué des opérations impliquant le décryptage de raccourcis clavier ou de touches froides.

La chronologie de l'attaque montre que l'attaquant a initié des transferts de fonds vers son portefeuille, ce qui a été rapidement détecté par la Fondation Opentensor (OTF). Une équipe d’intervention, surnommée « salle de guerre », a été créée pour gérer la situation.

L'attaque a été neutralisée en plaçant les validateurs de la chaîne Opentensor derrière un pare-feu et en activant le mode sans échec, ce qui a interrompu toutes les transactions et permis une analyse détaillée de la violation.

Actions de sécurité et mesures immédiates

En réponse à l'attaque, le L’équipe de la FTO a pris des mesures immédiates pour atténuer les dégâts. Cela comprenait la suppression du package malveillant 6.12.2 du référentiel PyPi Package Manager.

De plus, Bittensor a coopéré avec plusieurs échanges de crypto-monnaie pour partager les détails de l'attaque, dans le but de retrouver l'attaquant et de tenter de récupérer les fonds volés.

Pour renforcer la sécurité et prévenir de futurs incidents, Bittensor met en œuvre plusieurs mesures. Celles-ci incluent des processus d'accès et de vérification plus stricts pour les packages téléchargés sur PyPi, l'augmentation de la fréquence des audits de sécurité, le respect des meilleures pratiques en matière de politiques de sécurité publique et l'amélioration de la surveillance et de la journalisation des téléchargements et des téléchargements de packages.

De plus, l'équipe Bittensor conseille aux utilisateurs de mettre à niveau. à la dernière version de Bittensor pour créer de nouveaux portefeuilles et transférer des fonds une fois que la blockchain aura repris ses opérations normales.

Reprise des opérations et enquêtes complémentaires

Le processus de révision du code étant presque terminé, Opentensor prévoit de reprendre progressivement les opérations normales de la blockchain Bittensor. Cette approche progressive garantira que toutes les vulnérabilités de sécurité ont été corrigées avant de permettre aux transactions de circuler à nouveau.

L'équipe Bittensor reste engagée dans des enquêtes plus approfondies sur la violation avec les responsables de PyPi et s'engage à mettre en œuvre des améliorations de sécurité supplémentaires pour prévenir de futurs incidents.

Au moment de la rédaction de cet article, TAO se négocie à 201 $, affichant une baisse de plus de 10 % au cours des dernières 24 heures, selon les données de CoinMarketCap. Malgré ce récent ralentissement, le jeton a réalisé des gains significatifs de plus de 386 % depuis le début de l'année.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!