Clé owner fuitée de Levyathan Finance
~1,5 M$ drainés de Levyathan Finance sur Fantom après la fuite de la clé deployer (reportée sur un repo public), permettant de minter du LEV illimité.
- Date
- Victime
- Levyathan Finance
- Chaîne(s)
- Statut
- Fonds dérobés
Le 31 juillet 2021, la ferme de rendement Fantom Levyathan Finance a perdu environ 1,5 million de dollars après que la clé privée owner/deployer de l'équipe a été fuitée — reportée comme exposée via un repository de code public. Un attaquant l'a utilisée pour minter du LEV illimité et drainer la ferme.
Ce qui s'est passé
La clé owner de Levyathan a été involontairement exposée (commitée à un repo public, selon le propre récit de l'équipe). Un attaquant l'a trouvée, a assumé les privilèges owner, minté du LEV sans limite et drainé les pools (~1,5 M$).
Pourquoi c'est important
Levyathan est la variante clé-fuitée-via-repo-public de la compromission de clé unique (RocketSwap est son cousin côté serveur). C'est l'instance la plus évitable possible : pas de malware, pas de phishing, pas d'adversaire sophistiqué — un secret commité dans le contrôle de source public et scrapé. La thèse sécurité-opérationnelle du catalogue dans sa forme la plus crue : la plupart des compromissions catastrophiques de clés ne sont pas sophistiquées ; ce sont des échecs d'hygiène — clés dans des repos, clés sur des laptops dev, clés déchiffrables à côté de leur ciphertext. La défense n'est pas de la cryptographie avancée ; c'est de ne pas mettre la clé là où le monde peut la lire.
Sources & preuves on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-levyathan-finance-hack-july-2021
- [02]rekt.newshttps://rekt.news/levyathan-finance-rekt