Exploit du pont Orbit Chain

Aux premières heures du 1er janvier 2024 — UTC — le pont cross-chain coréen Orbit Chain a été drainé d'environ 82 millions de dollars en stablecoins et actifs enveloppés. C'était le premier incident majeur de l'année et une continuation de la série pluriannuelle de compromissions de ponts qui a commencé avec Ronin et Wormhole en 2022.

Ce qui s'est passé

Le pont d'Orbit Chain entre Ethereum et Klaytn était sécurisé par un schéma multi-signature dans lequel un quorum de clés de signature détenues par les opérateurs devait autoriser chaque retrait cross-chain. L'attaquant a obtenu l'accès à sept des dix clés de signature — suffisant pour émettre des preuves de retrait valides pour tout actif détenu dans les contrats de pont.

Avec les clés en main, l'attaquant a drainé les réserves du pont en USDT, USDC, ETH, WBTC et DAI dans une séquence de retraits sur Ethereum, puis a converti et déplacé les fonds via des chemins de blanchiment standard.

Conséquences

• Orbit Chain a mis le pont en pause et offert une prime white-hat de 10% pour la restitution des fonds, restée sans réponse.
• Les forces de l'ordre coréennes ont ouvert une enquête ; aucune attribution publique n'a été émise.
• Une petite portion des fonds a été gelée par les échanges pendant le blanchiment ; le gros est resté aux adresses de l'attaquant.

Pourquoi c'est important

Orbit était une continuation de la leçon de Ronin : un pont sécurisé par un multi-sig N-de-M de clés d'opérateurs est exactement aussi sécurisé que la moins bien gérée de ces clés. La réponse de l'industrie — attestation basée sur des comités avec slashing explicite (par exemple Across, LayerZero v2), ou remplacement de l'attestation par des modèles d'exécution canonique unique — était déjà en cours au moment où Orbit s'est produit, et s'est accélérée après.