Clé de mint compromise de PAID Network

Le 5 mars 2021, la clé déployeur/mint de PAID Network a été compromise et utilisée pour recréer le jeton PAID, émettant environ 59 millions de PAID vers les adresses de l'attaquant. Environ 2,5 M de PAID ont été vidés pour ~3 M$ avant que l'équipe ne mette en pause et ne migre le jeton. La valeur nominale créée était d'environ 27 M$+ ; le vol réalisé d'environ 3 M$. PAID a chuté d'environ 85% et l'incident a d'abord été soupçonné d'être un rug interne avant d'être attribué à une compromission de clé.

Ce qui s'est passé

Le contrat de jeton PAID conservait l'autorité de mint sur une seule clé. Cette clé a été compromise ; l'attaquant a créé environ 59 M de PAID et en a vendu environ 2,5 M dans la liquidité pour environ 3 M$ avant que le contrat ne soit mis en pause et qu'une migration/instantané de jeton ne rembourse les détenteurs.

Pourquoi c'est important

PAID Network est un incident précoce et marquant d'« autorité de mint illimitée sur une seule clé », et un cas d'école de l'ambiguïté compromission de clé vs rug interne (Grand Base, Snowdog). L'atténuation est le conseil le plus répété du catalogue : l'autorité de mint doit être renoncée ou derrière multi-sig + timelock ; une seule clé de mint est une arme chargée pointée sur chaque détenteur, que la gâchette soit pressée par un voleur ou le fondateur. La récupération par migration/instantané préfigure également la remédiation standard d'émetteur de jeton utilisée plus tard par PlayDapp et d'autres.