Radiant Capital a publié une analyse détaillée de l'exploit du 16 octobre qui a entraîné la perte de plus de 50 millions de dollars de fonds utilisateurs.
Selon l'autopsie, l'attaquant a utilisé un logiciel malveillant très avancé pour empoisonner les transactions, lui permettant de voler des fonds lors d'un processus de signature multiple de routine.
Méthodologie d'attaque Exploitation des erreurs courantes
Tout a commencé lorsque le pirate a compromis les portefeuilles physiques appartenant à trois des principaux développeurs du protocole et y a injecté un logiciel malveillant qui imitait des transactions légitimes. Alors que les développeurs signaient ce qu'ils croyaient être des ajustements d'émissions de routine, le logiciel malveillant exécutait des transactions non autorisées en arrière-plan.
Radiant Capital a réitéré que ses contributeurs ont suivi à la lettre les procédures opérationnelles standard au cours de ce processus fatidique. Ils ont simulé chaque transaction pour en vérifier l'exactitude sur la plateforme d'infrastructure Web3 complète, Tenderly, tout en les soumettant à un examen individuel à chaque étape de la signature.
Malgré ces multiples niveaux de vérification, les contrôles frontaux n’ont montré aucun signe visible d’anomalies, même lorsque le logiciel malveillant s’est infiltré dans les systèmes du protocole.
L’analyse de l’entreprise a également mis en évidence la manière dont l’attaquant a profité des échecs de transactions courants pour exécuter le piratage. Il a utilisé les resoumissions de portefeuilles, souvent causées par des fluctuations du prix du gaz ou une congestion du réseau, comme couverture pour récupérer les clés privées, tout en maintenant l’apparence de la normalité.
L'auteur a ensuite pris le contrôle de certains contrats intelligents et a fini par siphonner des millions de dollars de crypto-monnaies, notamment l'USDC, le BNB enveloppé (wBNB) et l'Ethereum (ETH).
Le montant réel volé varie entre 50 et 58 millions de dollars, selon la source qui l'a signalé. Cependant, la plateforme de finance décentralisée (DeFi) a indiqué le chiffre le plus bas dans son compte rendu de l'incident.
Le FBI sollicité pour aider à récupérer des fonds volés
Dans le rapport, le prêteur inter-chaînes a déclaré qu'il travaillait en étroite collaboration avec les forces de l'ordre américaines, y compris le FBI, ainsi qu'avec les sociétés de cybersécurité SEAL911 et ZeroShadow pour retrouver la crypto volée.
En outre, par mesure de précaution, il a conseillé aux utilisateurs de révoquer les approbations sur toutes les chaînes, y compris Arbitrum, BSC et Base. Cette mesure est une réponse à l'exploiteur qui capitalise sur les approbations ouvertes pour drainer les fonds des comptes.
Radiant Capital a également créé de nouveaux portefeuilles froids et ajusté les seuils de signature pour améliorer la sécurité de la plateforme. De même, il a introduit un délai obligatoire de 72 heures pour toutes les mises à niveau de contrat et les transferts de propriété. Il est destiné à donner à la communauté suffisamment de temps pour vérifier les transactions avant l'exécution finale.
Toutefois, compte tenu du niveau de sophistication de la violation, l’entreprise a admis que même ces mesures n’auraient peut-être pas pu empêcher l’attaque.
Les attaques DeFi se sont multipliées à un rythme alarmant, et quelques enquêtes récentes dressent un tableau plutôt morne. Selon PeckShield, il y a eu plus de 20 piratages en septembre, entraînant des pertes de plus de 120 millions de dollars.
En outre, une autre société de sécurité on-chain, Hacken, a annoncé que plus de 440 millions de dollars volés aux plateformes cryptographiques au troisième trimestre 2024 avaient été perdus à jamais.
L'article Radiant Capital publie une analyse post-mortem de l'attaque de 50 millions de dollars est apparu en premier sur CryptoPotato.
