Le protocole de mise en place liquide Lido évite les incidents de sécurité majeurs après que l'une de ses clés Oracle est compromise

Lido, le plus grand protocole d'allumage liquide d'Ethereum, a évité un incident de sécurité majeur après l'une de ses neuf Keys Oracle a été compromis

One of Lido’s nine oracle keys was compromised, in what appears to be a low-impact but serious breach involving validator operator Chorus One.

L'une des neuf Keys Oracle de Lido a été compromise, dans ce qui semble être une violation à faible impact mais grave impliquant le Validator Operator Chorus One.

According to X posts from both Lido and Chorus One, the compromised key was tied to a hot wallet used for oracle reporting, leading to the theft of just 1.46 ETH ($4,200) in gas fees.

Selon X messages de Lido et Chorus One, la clé compromise était liée à un portefeuille chaud utilisé pour les rapports Oracle, conduisant au vol de seulement 1,46 ETH (4 200 $) en frais de gaz.

No user funds were affected, and no broader compromise was detected.

Aucun fonds utilisateur n'a été affecté et aucun compromis plus large n'a été détecté.

Lido's oracle system is a blockchain-based tool that supplies Ethereum consensus data to Lido’s smart contracts using a 5-of-9 quorum mechanism. This means that even if upto 4 keys are compromised, the system can continue operating.

Le système Oracle de Lido est un outil basé sur la blockchain qui fournit des données de consensus Ethereum aux contrats intelligents de Lido à l'aide d'un mécanisme de quorum 5 sur 9. Cela signifie que même si jusqu'à 4 clés sont compromises, le système peut continuer à fonctionner.

According to Chorus One, contributors first detected the suspicious activity early Sunday after a low-balance triggered a closer look at the address.

Selon Chorus One, les contributeurs ont d'abord détecté l'activité suspecte tôt dimanche après qu'un faible équilibre a déclenché un examen plus approfondi de l'adresse.

This revealed unauthorized access to an oracle private key used by Chorus One that was originally created in 2021 and not secured to the same standards as newer keys, the firm said.

Cela a révélé un accès non autorisé à une clé privée Oracle utilisée par Chorus One qui a été créée à l'origine en 2021 et non sécurisée selon les mêmes normes que les clés plus récentes, a indiqué la firme.

In response, Lido has launched an emergency DAO vote to rotate the compromised oracle key across three contracts: the Accounting Oracle, the Validators Exit Bus Oracle, and the CS Fee Oracle.

En réponse, Lido a lancé un vote DAO d'urgence pour faire pivoter la clé Oracle compromise sur trois contrats: l'Oracle comptable, les validateurs quittent l'oracle de bus et l'oracle des frais CS.

The new key has been generated using better security controls to avoid any repeat.

La nouvelle clé a été générée à l'aide de meilleurs contrôles de sécurité pour éviter toute répétition.

The hack comes as several other oracle operators were also experiencing unrelated node issues, including a minor Prysm bug introduced by Ethereum’s recent Pectra upgrade, briefly delaying oracle reports on May 10.

Le hack intervient alors que plusieurs autres opérateurs d'Oracle connaissaient également des problèmes de nœuds non apparentés, notamment un bug de Prysm mineur introduit par la récente mise à niveau de PECTRA d'Ethereum, retardant brièvement les rapports Oracle le 10 mai.

The compromised address (0x140B) is being replaced by a new secure address (0x285f), with the on-chain vote already approved and in its 48-hour objection period as of Asian morning hours Monday.

L'adresse compromise (0x140b) est remplacée par une nouvelle adresse sécurisée (0x285F), le vote en chaîne déjà approuvé et dans sa période d'objection de 48 heures aux heures du matin asiatiques lundi.