😂 CLÉ PRIVÉE SUR GITHUB DEUX ANS — RÉSULTAT 1,7 M$
Pas de faille complexe. Aucune vulnérabilité dans le code. La clé RSA-3072 pour le prouveur SGX Raiko était simplement restée dans un dépôt public sur GitHub. Deux ans. Le fichier enclave-key.pem. En accès libre.
Le hacker a trouvé la clé, a enregistré son prouveur comme légitime, puis a commencé à signer de fausses requêtes de retrait de fonds — et les contrats Ethereum les acceptaient comme authentiques. Sans dépôt réel de l’autre côté.
Bilan : 1,7 M$ ont été détournés, le réseau s’est arrêté, le token a chuté de 20 %, et environ 2 millions de tokens ont pu partir sur MEXC avant le gel.
Ce n’est même pas un « bug » — c’est juste un fichier qui n’était pas au bon endroit. La sécurité du projet, avec des centaines de millions de TVL, reposait sur le fait que personne ne penserait à aller regarder dans le dépôt.
Ils y ont pensé.
#Taiko #crypto #Security #Hack Abonne-toi — ici, je décortique les piratages avant même la publication officielle du postmortem 🔔