Le piratage de 50 millions de dollars a envoyé des ondes de choc à travers la communauté defi avec des fonds autorisés pour différents projets complètement épuisés.
Radiant Capital Hack : Comment les pirates ont utilisé un PDF pour voler 50 millions de dollars
Cet article a été publié il y a plus d'un an. Certaines informations peuvent ne plus être actuelles.
ÉCRIT PAR
PARTAGER
Le piratage de 50 millions de dollars, un avertissement sévère pour l’industrie defi
La complexité et la précision d’une récente attaque contre Radiant Capital, un protocole de prêt décentralisé cross-chain construit sur Layerzero, ont exposé une nouvelle couche de vulnérabilité, même dans les projets defi bien sécurisés.
Le 16 octobre, Radiant Capital a subi une violation qui a entraîné le vol d’environ 50 millions de dollars, avec des experts en sécurité et des développeurs notables, comme @bantg, exprimant des préoccupations quant à la sophistication de l’attaque. Comme l’a noté @bantg, “ce niveau d’attaque est vraiment effrayant. À ma connaissance, les signataires compromis ont suivi les meilleures pratiques.”
Un récent rapport d’incident de Radiant Capital, ainsi qu’un fil X de OneKeyHQ, ont montré une décomposition étape par étape du piratage, le rapport reliant fortement le piratage aux pirates nord-coréens.
L’attaque a commencé le 11 septembre, lorsqu’un développeur de Radiant Capital a reçu un message Telegram de quelqu’un prétendant être un ancien contractant de confiance. Selon le message, le contractant cherchait une nouvelle opportunité d’emploi dans les audits de contrats intelligents. Il demandait des commentaires sur le travail du contractant et fournissait un lien vers un PDF compressé détaillant leur prochaine mission. Les pirates ont même imité le site Web légitime du contractant pour ajouter de la crédibilité.
Le fichier zip contenait un exécutable déguisé nommé INLETDRIFT. Lors de son ouverture, il a installé un logiciel malveillant sur l’appareil macOS du développeur, accordant aux attaquants l’accès au système du développeur. Le logiciel malveillant était conçu pour communiquer avec un serveur contrôlé par les pirates.
Tragiquement, le fichier compromis a été partagé avec d’autres membres de l’équipe pour des retours, propageant davantage le logiciel malveillant. Les attaquants ont utilisé leur accès pour exécuter une attaque de l’homme du milieu (MITM). Bien que l’équipe Radiant s’appuie sur des portefeuilles multisig Gnosis Safe pour la sécurité, le logiciel malveillant a intercepté et manipulé les données de transaction. Sur les écrans des développeurs, les transactions semblaient légitimes, mais les pirates les ont remplacées par des instructions malveillantes visant la possession de contrats de pool de prêts.
En exploitant une vulnérabilité de signature aveugle dans les portefeuilles Ledger, les attaquants ont convaincu les développeurs d’autoriser un appel de transfert de propriété(), leur donnant le contrôle des fonds de Radiant. En moins de trois minutes, les pirates ont vidé les fonds, supprimé les portes dérobées et effacé les traces de leurs activités, laissant les enquêteurs avec peu de preuves.
Cette attaque a mis en lumière la sophistication croissante des menaces cybernétiques telles que la violation DMM bitcoin qui a conduit à la fermeture de l’échange de crypto japonais ainsi que des leçons clés. L’une d’entre elles est que les équipes doivent se tourner vers des outils de collaboration en ligne pour réduire les risques de logiciels malveillants. Le téléchargement de fichiers non vérifiés, surtout de sources externes, doit être complètement évité.
La vérification des transactions frontales est cruciale mais vulnérable au spoofing. Les projets devraient envisager des outils de vérification avancés et une surveillance de la chaîne d’approvisionnement pour détecter toute altération. De plus, les portefeuilles matériels manquent souvent de résumés détaillés des transactions, augmentant le risque. Un support amélioré pour les transactions multi-signatures pourrait atténuer ce problème.
Le renforcement de la gouvernance des actifs avec des verrous temporels et des cadres de gouvernance peut également contribuer à retarder les transferts de fonds critiques, permettant aux équipes d’identifier et de répondre aux anomalies avant que les actifs ne soient perdus.
Le piratage de Radiant Capital est un rappel brutal des vulnérabilités qui persistent même dans les projets respectant les meilleures pratiques. À mesure que l’écosystème defi se développe, l’ingéniosité des attaquants croît. Une vigilance à l’échelle de l’industrie, des protocoles de sécurité renforcés et une gouvernance d’actifs robuste sont essentiels pour prévenir de tels incidents à l’avenir.
Le DAO Radiant continue de soutenir Mandiant dans son enquête, avec la coopération de Zeroshadow et des autorités américaines pour geler les actifs volés. Radiant a également exprimé son désir de partager les leçons apprises pour aider toute l’industrie à améliorer les normes de sécurité.
