Radiant Capital a repris ses marchés de prêt Ethereum après un hack qui a coûté environ 58 millions de dollars en actifs numériques.
Le 1er novembre, le protocole de prêt a annoncé qu'il avait mis en œuvre des améliorations dans son cadre. Cela inclut le transfert de propriété dans un contrat de verrouillage temporel. L'équipe de Radiant Capital a déclaré que cela impose une période d'attente obligatoire de 72 heures pour tout ajustement, affirmant que cela renforce la sécurité de Radiant.
L'équipe a également mis en place un rôle d'administrateur d'urgence en utilisant une structure multisignature. Ce rôle est chargé de mettre en pause et de reprendre les marchés du protocole de prêt si nécessaire.
De plus, son organisation autonome décentralisée (DAO) a également renforcé sa sécurité multisignature, réduisant le nombre de signataires requis à sept et ayant un seuil de signature de quatre sur sept.
Les portefeuilles multisignatures renforcent la sécurité en nécessitant plusieurs signatures pour exécuter ou traiter des transactions crypto. Cela élimine le risque d'un point de défaillance unique associé à la possession d'une seule clé privée.
Une « leçon » coûteuse pour DeFi
Les améliorations de sécurité font suite à une exploitation qui a entraîné plus de 50 millions de dollars de pertes d'actifs numériques. Le 16 octobre, Radiant Capital a suspendu ses marchés de prêt après une violation de la cybersécurité sur BNB Chain et Arbitrum.
Un attaquant a pris le contrôle des clés privées de plusieurs signataires et de contrats intelligents. Cela a permis aux hackers de siphonner plus de 50 millions de dollars d'actifs du protocole.
Le 18 octobre, Radiant Capital a confirmé dans un post-mortem que les attaquants avaient compromis les appareils d'au moins trois de ses développeurs principaux en injectant des logiciels malveillants.
Radiant Capital a déclaré que les appareils avaient été compromis de manière à ce que l'interface de leurs portefeuilles affiche des données de transaction légitimes tandis que des transactions malveillantes étaient signées et exécutées en arrière-plan.
Dans un post sur X, le professionnel de la sécurité Patrick Collins a décrit l'incident comme une « leçon de 50 millions de dollars » que l'espace de la finance décentralisée (DeFi) doit se rappeler. Collins a déclaré qu'il existe un manque éducatif ou d'outillage pour vérifier les transactions utilisant des portefeuilles matériels.
Source : Patrick Collins
Pendant ce temps, le hacker de Radiant Capital a déjà déplacé environ 52 millions de dollars des fonds volés lors de l'incident. Le 24 octobre, la société de sécurité blockchain PeckShield a déclaré que l'exploitant avait déjà déplacé « presque tous » les fonds volés.
Problèmes de signature de portefeuille dans la crypto
Les incidents de phishing dans la crypto ont déjà entraîné des millions d'actifs numériques perdus. Le 21 août, une attaque de phishing crypto a siphonné 55 millions de dollars en stablecoins après qu'une baleine ait accidentellement signé une transaction qui a transféré la propriété des fonds aux attaquants.
À cause de tels incidents, le portefeuille matériel Ledger estime qu'il est nécessaire de promouvoir la signature claire dans l'espace crypto. Le PDG de Ledger, Pascal Gauthier, a précédemment déclaré à Cointelegraph dans une interview que l'industrie devait s'éloigner de la signature aveugle et qu'ils s'étaient associés à plusieurs entités pour éduquer la communauté avec une initiative de signature claire.
Magazine : La plupart des projets DePIN n'utilisent même pas la blockchain : Vrai ou faux ?
