Veuillez noter que certains liens présents dans ce guide peuvent être des liens d'affiliation, mais que cela n'impacte pas l'objectivité de notre contenu. 
L’incubateur Web3 Seedify a été ciblé par une attaque de pirates nord-coréens. L’attaque intervenue aujourd’hui a mis en lumière un nouveau type de vulnérabilité.
L’action rapide des responsables du projet a permis de geler une partie des fonds. Ceci dit, l’ampleur des pertes n’est pas encore totalement connue. En particulier, parce que le jeton SFUND a chuté de plus de 40 % en raison de l’émission non autorisée de jetons.
Un nouveau type de vulnérabilité
Seedify est un incubateur Web3 lancé en 2021. La plateforme cherche à être un tremplin pour les projets innovants qui souhaitent être lancés dans l’écosystème Web3. Depuis plus de 4 ans, Seedify a mis ses services de crowdfunding et d’incubation au service de nombreux. Notamment ChainGPT, MicroGPT ou même Altcoinist et Solidus.
Aujourd’hui, la plateforme a été visée par un hack dévastateur. D’après les informations communiquées par Seedify, tout serait parti de la compromission des clés privées d’un développeur. Dès lors, les pirates ont utilisé ces clés pour exploiter une faille méconnue du contrat de bridge.
Typiquement, un contrat de bride ou de pont, ne peut émettre de jetons que lorsqu’un jeton est fourni en contrepartie. Autrement dit, pour émettre le jeton sur la blockchain Arbitrum, il faut nécessairement fournir un jeton équivalent sur BNB Smart Chain, par exemple. Ceci garanti que l’offre en circulation reste la même.
Les contrats de bridge sont méticuleusement audités pour s’assurer qu’aucun dysfonctionnement n’existe. D’ailleurs, Seedify confie avoir fait auditer ses contrats de bridge à plusieurs reprises par certaines des firmes les plus réputées de l’industrie Web3.
Pourtant, les pirates nord-coréens ont identifié une vulnérabilité qu’ils ont ensuite exploitée. Ils ont réussi à émettre un volume important de jetons sur Avalanche. Ces jetons ont ensuite été transférés sur Ethereum, Arbitrum et Base pour être vendus.
Un gel partiel des fonds
Lorsque le hack a été identifié, Seedify a contacté les plateformes pour faire suspendre le trading de son jeton SFUND. De même, les fonctionnalités de bridge entre blockchains ont été suspendues jusqu’à nouvel ordre.
Les responsables du projet indiquent que les contrats principaux, les portefeuilles des utilisateurs et le site web n’ont pas été affectés par l’attaque. Le protocole qui gouverne Seedify devrait pouvoir reprendre en toute normalité à une date ultérieure.
Ceci dit, les pools de liquidité qui permettent d’échanger les jetons d’une chaîne à une autre sont essentiellement constitués de fonds d’utilisateurs.
Les partenaires de cybersécurité ont permis d’identifier les auteurs présumés du hack. En effet, les adresses on-chain sont déjà connues pour leur implication dans des hacks par des pirates nord-coréens.
À cette date, il est encore difficile d’estimer le total des pertes encourues par Seedify. Ni même, dans quelle mesure les fonds pourront être recouvrés. De même, le jeton SFUND a chuté de 0,4 $ à 0,001 $ avant de remonter progressivement. En ce moment, il s’échange à 0,29 $ environ.
