Lorsque l’on parle de sécurité dans l’univers des cryptomonnaies, aucun protocole n’est à l’abri. Même les plus robustes peuvent faire face à des failles exploitées par des hackers malveillants. C’est malheureusement ce qu’a vécu Radiant Capital en octobre dernier, avec un vol record de 50 millions de dollars. Quatre mois après les faits, l’enquête a progressé et les soupçons se tournent vers un acteur inattendu : la Corée du Nord.
Un PDF corrompu à l’origine du hack
Tout a commencé de façon anodine. En septembre, un ancien employé contractuel de Radiant Capital envoie un PDF à ses ex-collègues pour recueillir leurs commentaires sur son travail. Une pratique courante dans le milieu. Mais ce document en apparence inoffensif cachait en réalité un cheval de Troie.
Selon Radiant Capital, ce message proviendrait en réalité d’un acteur lié à la Corée du Nord, se faisant passer pour l’ancien contractant. Le fichier ZIP joint, une fois partagé avec les développeurs, a livré un logiciel malveillant qui a facilité l’intrusion.
Une porte dérobée indétectable
Le malware visait à créer une porte dérobée sur les machines des développeurs. L’attaquant a ensuite déployé de nombreux smart contracts malveillants sur différentes blockchains comme Arbitrum, BNB Chain, Base ou Ethereum. Ces contrats ont ensuite été utilisés pour mener à bien l’attaque, sans que les développeurs ne s’en aperçoivent.
Les interfaces utilisateurs affichaient des données de transaction bénignes alors que des transactions malveillantes étaient signées en arrière-plan à l’insu des développeurs.
– Rapport d’enquête de Radiant Capital
Des techniques d’attaque avancées
La méthode utilisée était tellement sophistiquée qu’elle a permis de contourner toutes les sécurités de Radiant Capital :
- Simulation des transactions dans Tenderly
- Vérification des données utiles
- Respect des procédures opérationnelles standard
Les vérifications et simulations traditionnelles n’ont révélé aucune anomalie évidente, rendant la menace pratiquement invisible lors des étapes normales d’examen. Une fois le butin récupéré, les hackers se sont empressés de brouiller les pistes en supprimant toute trace de leur porte dérobée seulement 3 minutes après le vol.
L’ombre de la Corée du Nord
Ce n’est pas la première fois que le régime nord-coréen est pointé du doigt dans des affaires de piratage de cryptomonnaies. Quelques semaines avant le hack de Radiant Capital, la Corée du Sud accusait déjà son voisin d’être à l’origine du piratage de l’exchange UpBit.
L’écosystème Cosmos a également été victime d’une attaque similaire il y a quelques mois. Un développeur nord-coréen infiltré dans l’équipe du Liquid Staking Module de Cosmos avait introduit une faille dans le système. Heureusement, celle-ci a été identifiée avant de pouvoir être exploitée.
Un signal d’alarme pour la sécurité blockchain
Cette nouvelle attaque montre une fois de plus la nécessité de renforcer la sécurité des protocoles blockchain et DeFi. Même les équipes les plus expérimentées peuvent se faire piéger par des techniques d’ingénierie sociale de plus en plus évoluées.
Quelques mesures essentielles à mettre en place :
- Sensibiliser les équipes aux risques de phishing et d’ingénierie sociale
- Mettre en place des procédures strictes de vérification des fichiers entrants
- Effectuer des audits de sécurité réguliers et approfondis des smart contracts
- Surveiller en permanence les activités on-chain suspectes
Le hack de Radiant Capital est un signal d’alarme pour tout l’écosystème. Il rappelle que la sécurité doit être une priorité absolue à tous les niveaux, des individus aux protocoles en passant par les entreprises. C’est à ce prix que nous pourrons bâtir un avenir pérenne et digne de confiance pour les cryptomonnaies et la blockchain.
