Clés fuitées sur serveur de RocketSwap

Le 14 août 2023, le DEX de la chaîne Base RocketSwap a perdu environ 869 000 dollars après que des attaquants ont violé le serveur du projet et obtenu ses clés privées. Les clés étaient stockées chiffrées sur le même serveur qu'un script d'automatisation contenant la routine de déchiffrement — donc compromettre le serveur livrait à la fois le texte chiffré et les moyens de le déchiffrer.

Ce qui s'est passé

RocketSwap exploitait une fonctionnalité d'auto-farming nécessitant une signature côté serveur. L'équipe stockait la clé de signature chiffrée, mais la logique de déchiffrement et l'accès vivaient sur la même machine. Une compromission du serveur a donné à l'attaquant la clé chiffrée et le script qui la déchiffre — annulant entièrement le chiffrement. L'attaquant a drainé ~869 K$ et l'a acheminé via Tornado Cash.

Conséquences

• RocketSwap a publiquement reconnu la cause racine de la clé fuitée.
• Petit protocole ; récupération minimale.

Pourquoi c'est important

RocketSwap est une leçon nette sur le théâtre du chiffrement au repos : chiffrer une clé n'a aucun sens si la clé/logique de déchiffrement est co-localisée avec le texte chiffré et également exposée. C'est le cousin sécurité opérationnelle de Slope Wallet (seeds journalisés vers un serveur) et Mixin (clés accessibles depuis une DB cloud violée). La règle récurrente : un secret n'est aussi protégé que le chemin le plus faible vers son texte clair — et « chiffré, mais le déchiffreur est juste à côté » n'est pas une protection, c'est une case à cocher.