- L’équipe du protocole ORE a identifié un bug dans son contrat intelligent de staking, qui permettait aux pirates de réclamer injustement environ 25,5 $ SOL jetons en rendement.
- Selon le communiqué officiel, le bug était présent dans le contrat intelligent isolé et il n’y a pas eu d’exploitation majeure.
- Les utilisateurs devront migrer vers le nouveau contrat intelligent de staking afin de générer des récompenses.
Le 17 juin, le protocole ORE a révélé un bug présent dans le programme de staking et a rapidement répondu pour résoudre le problème. Cependant, l’incident de sécurité dans un contrat intelligent présent sur la blockchain Solana a permis aux pirates de voler 25,5 $ SOL jetons du mécanisme de rendement du protocole, qui valent environ 2 215 $.
« Tous les dépôts des utilisateurs sont sécurisés », assure l’équipe ORE après un incident de sécurité
ORE, qui est un protocole minier de type preuve de travail sur Solana, a dévoilé les détails liés à l’incident de sécurité via un message sur X. L’équipe a confirmé avoir identifié «une attaque contre le programme de participation conduisant à une répartition injuste des rendements.» Cependant, les dégâts ont été minimes par rapport aux récentes cyberattaques sur les plateformes DeFi.
L’équipe a assuré que «Tous les dépôts des utilisateurs sont sécurisés. Il n’y a aucun risque de perte de fonds.
Le protocole ORE a précisé que cet incident de sécurité était lié au bug isolé du contrat intelligent dans le programme de staking et qu’il n’affectait pas le réseau ou le système minier principal. « Le programme de mise isole les fonds des utilisateurs. Chaque compte à participation dispose d’un compte symbolique indépendant, ce qui signifie que l’attaquant n’a pas pu voler les dépôts des autres utilisateurs. Le programme de participation dispose de réserves suffisantes pour couvrir tous les dépôts valides des utilisateurs et les demandes de rendement. L’impact s’est limité uniquement à une répartition injuste des rendements », a déclaré dans le message officiel partagé sur X.
Sur le protocole, les utilisateurs misent leur $ SOL ou des jetons ORE dans des contrats intelligents liés au jeu minier basé sur une grille du protocole. Dans cet espace minier, les mineurs évoluent sur une grille 5×5 pour générer des récompenses. En dehors de cela, le mécanisme de staking sur le protocole leur permet de générer des rendements. Cependant, comme beaucoup d’autres protocoles DeFi, il comporte certains risques si les contrats intelligents ne sont pas entièrement audités.
Le protocole ORE demande aux utilisateurs de migrer vers un nouveau contrat intelligent
Selon le communiqué officiel, le bug se trouvait dans le code du contrat intelligent du programme de staking. En utilisant ce bug, les pirates ont injustement réclamé 25,5 $ SOL jetons après avoir gonflé leur solde de mise enregistré sans réellement déposer de jetons. Il s’agit d’une très petite quantité par rapport aux piratages majeurs, et l’équipe ORE a réussi à éviter une nouvelle exploitation du protocole grâce à des mesures de sécurité rapides.
L’équipe a déclaré que les contrats de staking des utilisateurs individuels n’ont pas été affectés par la cyberattaque et qu’aucun fonds majeur n’a été volé à l’utilisateur.
Après que le problème ait été remarqué, les responsables du protocole ORE ont rapidement tout gelé. transferts de rendement du programme minier vers le programme de staking le 15 juin 2026. Pendant ce temps, le pirate informatique a a gonflé le solde des mises d’environ 6 % du pool de mises total.
Afin d’éviter toute exploitation ultérieure des fonds, l’équipe a suggéré que tous les utilisateurs ayant des participations existantes dans les anciens contrats intelligents doivent retirer leurs fonds et migrer vers un nouveau contrat de mise pour gagner des récompenses.
En dehors de cela, le programme de staking liquide du premier minerai (store) est également gelé et dépend du programme de pieu concerné. L’équipe ORE a également créé un nouveau contrat de jeton stORE dans le cadre de la migration. Cela signifie que les utilisateurs disposant de jetons stORE devront également les échanger contre de nouveaux jetons store dans le cadre du processus.
Le message indiquait que «Les fonds détenus dans le programme de mise sont sécurisés uniquement par les portefeuilles des utilisateurs. Les responsables du protocole ne détiennent pas d’autorité de mise à niveau sur les contrats de staking ou de stockage et ne peuvent donc pas migrer la mise au nom des utilisateurs. Un processus de migration en un clic a été fourni sur le Miser page de l’application officielle ORE.
Cette cyberattaque est un bug classique des contrats intelligents, qui est très probablement lié à des problèmes tels qu’une mauvaise gestion des comptes, des attaques de relance qui réutilisent des comptes fermés ou des lacunes de validation, qui sont courantes sur Solana. Dans le passé, ORE a également été confronté à une congestion du réseau en raison de la forte demande des utilisateurs ; cependant, il a été corrigé sur la V2 avec de meilleurs mécanismes.
Au cours des derniers mois, le secteur DeFi a été confronté à des cyberattaques majeures, notamment l’attaque Kelp DAO, au cours de laquelle les utilisateurs ont perdu des millions de dollars, affectant l’ensemble de l’écosystème DeFi.
