Compromission de clé de mint Bondly Finance
Une clé déployeur compromise a permis de frapper ~373 M de BONDLY (~5,9 M$) et de les vendre dans la liquidité, effondrant le token avant migration.
- Date
- Victime
- Bondly Finance
- Chaîne(s)
- Statut
- Partiellement récupéré
Le 15 juillet 2021, la clé déployeur de Bondly Finance a été compromise et utilisée pour frapper ~373 M de BONDLY, que l'attaquant a vendus dans la liquidité pour environ 5,9 M$, effondrant le token. Bondly a ensuite migré vers un nouveau contrat de token avec un snapshot des holders.
Ce qui s'est passé
L'autorité de mint de BONDLY reposait sur une seule clé compromise. L'attaquant a frappé une vaste offre, l'a vendue, et le token s'est effondré ; l'équipe a migré vers un nouveau contrat et a indemnisé les holders légitimes via snapshot.
Pourquoi c'est important
Bondly est — encore une fois — une autorité de mint illimitée sur une seule clé (PAID Network, EasyFi, [Bondly]). 2021 a produit une série dense de ces cas parce que les projets de tokens étaient lancés rapidement avec une autorité de mint pour la « flexibilité opérationnelle » et ne l'ont jamais renoncée ou gardée par multi-sig. La phrase la plus répétée du catalogue s'applique encore : renoncer ou verrouiller par timelock+multisig l'autorité de mint — une clé de mint unique est le drapeau rouge le plus sévère, le plus facile à vérifier, et le plus ignoré de tout l'ensemble de données.
Sources & preuves on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-bondly-finance-hack-july-2021
- [02]rekt.newshttps://rekt.news/bondly-finance-rekt