Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 198Bug de smart contract

Mint opérateur de Holograph

Une faille dans le contrat opérateur de Holograph a permis de minter 1 Md de tokens HLG, 14,4 M$ nominal. HLG a chuté de 80 % en neuf heures.

Date
Victime
Holograph
Chaîne(s)
Ethereum
Statut
Fonds dérobés

Le 13 juin 2024 à 09h47 UTC, un attaquant non identifié a commencé à minter 1 milliard de tokens HLG en exploitant une vulnérabilité dans le smart contract Operator de Holograph. Le mint s'est déroulé sur neuf transactions séquentielles ; le HLG fraîchement minté valait environ 14,4 millions de dollars au moment du premier mint. En neuf heures après que l'exploit soit devenu visible, le token HLG avait chuté d'environ 80 % à mesure que le marché intégrait la dilution.

Ce qui s'est passé

Holograph était une plateforme de tokenisation multi-chaînes. Son contrat Operator gérait les opérations de mint sur les déploiements — une surface privilégiée qui aurait dû être gardée derrière un contrôle d'accès strict.

Le vecteur technique exact n'a jamais été entièrement détaillé dans les divulgations d'incident de l'équipe, mais le pattern on-chain était simple : l'attaquant a découvert un chemin par lequel le contrat Operator mintait des tokens HLG vers une destination spécifiée par l'attaquant sans autorisation appropriée. L'attaquant a exercé ce chemin neuf fois, mintant 1 milliard de HLG au total vers des adresses qu'il contrôlait.

Environ quatre heures après l'exploit initial, l'attaquant a commencé à swapper les HLG mintés en USDT via des agrégateurs DEX. Environ 1,3 M$ en USDT ont été cashés avec succès avant que la liquidité ne s'assèche ; les fonds ont été ensuite swappés en ~300 ETH et distribués sur quatre adresses pour blanchiment.

Conséquences

  • HLG est tombé de ~0,0149 $ à ~0,00296 $ en intraday (chute de 80 %), récupérant partiellement à ~0,00646 $ en 24 heures alors que l'équipe confirmait la remédiation.
  • Holograph a patché le contrat Operator et a travaillé avec les grands exchanges pour geler les comptes affectés ayant reçu du HLG minté.
  • L'équipe a lancé un programme de compensation et de remboursement pour les utilisateurs affectés — bien que l'effondrement de prix lié à la dilution signifie que même les utilisateurs remboursés ont absorbé des pertes réelles sur leurs détentions pré-incident.

Pourquoi c'est important

Holograph suit le pattern de l'attaque mint-then-dump qui se répète chaque fois qu'un protocole expose un chemin quelconque vers l'offre de son propre token natif sans contrôle d'accès suffisant :

  • PlayDapp (févr. 2024) — clé admin volée a minté 1,79 Md PLA
  • Gala Games (mai 2024) — rôle MINTER dormant a minté 5 Md GALA
  • Holograph (juin 2024) — vulnérabilité de contrat opérateur a minté 1 Md HLG

La réponse défensive est constante : séparer le contrat du token de tout contrat opérationnel, garder toute autorité de mint derrière des multi-sig avec timelocks et traiter toute adresse avec capacité mint() comme une identité privilégiée méritant un monitoring agressif. L'incident Holograph, trois mois après PlayDapp et un mois après Gala, suggérait que la leçon était encore en cours d'apprentissage en temps réel.

Sources & preuves on-chain

  1. [01]coinspeaker.comhttps://www.coinspeaker.com/holograph-plummets-hacker-1b-hlg/
  2. [02]news.bitcoin.comhttps://news.bitcoin.com/holograph-compromised-hlg-value-plummets-as-hacker-illegally-mints-1-billion-tokens/
  3. [03]bleepingcomputer.comhttps://www.bleepingcomputer.com/news/legal/hackers-linked-to-14m-holograph-crypto-heist-arrested-in-italy/

Dépôts liés