L’équipe derrière Solareum, une application d’échange Telegram pour acheter et vendre des jetons basés sur Solana sur la plate-forme de messagerie populaire, a annoncé qu’elle fermerait après avoir été liée à un exploit qui a vu quelque 523 000 $ de SOL drainés des portefeuilles des utilisateurs la semaine dernière.
Cet exploit, qui aurait touché plus de 300 utilisateurs de Solana, s’est produit à la fin de la semaine dernière. Au départ, certains utilisateurs pensaient que le populaire robot d’échange BONKbot de Telegram était en quelque sorte responsable de la fuite des clés privées des utilisateurs.
Cependant, l’équipe à l’origine de la mème monnaie BONK a nié que son bot Telegram ait eu une faille de sécurité et a déclaré que tous les utilisateurs de BONKbot touchés par l’exploit avaient auparavant exporté leurs clés privées pour les utiliser dans d’autres applications.
Solareum a ensuite déclaré dans un tweet de réponse vendredi qu' »il y a [peut-être] une chance que nous ayons été exploités ».
« C’est avec un profond sentiment de regret que nous annonçons la fermeture du projet Solareum », a ensuite écrit l’équipe sur Telegram samedi. « Malheureusement, en raison d’une combinaison de fonds insuffisants, de l’évolution des tendances du marché et d’une récente atteinte à la sécurité de nos systèmes, nous nous voyons contraints de prendre cette décision difficile. «
« Au cours des derniers mois, nous avons déployé des efforts concertés pour obtenir des fonds supplémentaires, nous adapter à l’évolution du marché et renforcer nos mesures de sécurité », ont-ils ajouté. « Malgré ces efforts, la récente faille de sécurité a compromis l’intégrité de nos systèmes, et nous ne pouvons plus assurer la sécurité de nos utilisateurs en raison du manque de fonds ».
L’équipe de Solareum a déclaré qu’elle contacterait les autorités pour tenter de geler les crypto-actifs volés s’ils étaient envoyés à des échanges centralisés. Cependant, l’équipe n’a rien dit au sujet de l’indemnisation des utilisateurs concernés. TCN a contacté Solareum à plusieurs reprises pour obtenir des commentaires, mais n’a pas encore reçu de réponse.
Le canal Telegram du projet est rempli d’utilisateurs qui demandent des réponses sur l’exploit, et certains menacent d’intenter une action en justice si Solareum n’annonce pas son intention de les dédommager.
☺0,1% des utilisateurs de BONKbot qui ont exporté leur PK ont été affectés. Notre analyse suggère fortement que l’exploit s’est produit lorsque ces victimes ont importé des PK dans une application spécifique.
Données à ce jour :
– nombre total de victimes : 302
– Victimes de BONKbot : 113
– Clé exportée par BONKbot : 113
– total SOL…– BONKbot (@bonkbot_io) Le 29 mars 2024
BONKbot est sans doute le plus grand bot de trading Telegram sur Solana, avec plus de 270 000 utilisateurs déclarés, et était initialement le principal suspect pour une grande partie de la communauté. L’équipe BONKbot a rapidement démenti le lien et partagé ses données concernant les victimes apparentes de l’exploitation du portefeuille.
L’équipe a expliqué sur Twitter que l’exploit semblait être lié à une « application spécifique » dans laquelle certains utilisateurs avaient exporté leurs clés privées, mais elle n’a pas précisé quelle application semblait être au cœur du problème. Lundi, BONKbot a confirmé à TCN que les données pointaient effectivement vers Solareum.
« Nous avons travaillé avec la communauté de la sécurité pour trianguler l’exploit, et bien que les victimes aient interagi avec une série d’applications et de portefeuilles, le point de corrélation absolu jusqu’à présent a été l’importation par les victimes de leurs [clés privées] dans Solareum », a déclaré l’équipe BONKbot.
« Notre analyse l’indiquait de manière écrasante avant l’annonce de Solareum, mais sans avoir accès à leur base de code ou à leurs journaux, notre analyse restera toujours probabiliste et non déterministe », ont-ils ajouté. « En outre, on ne sait toujours pas s’il s’agit d’une violation externe ou d’une fuite interne. C’est pourquoi nous avons évité de pointer du doigt en public – ce n’est pas notre métier. «
