Lorsque lâon parle de sĂ©curitĂ© dans lâunivers des cryptomonnaies, aucun protocole nâest Ă lâabri. MĂȘme les plus robustes peuvent faire face Ă des failles exploitĂ©es par des hackers malveillants. Câest malheureusement ce quâa vĂ©cu Radiant Capital en octobre dernier, avec un vol record de 50 millions de dollars. Quatre mois aprĂšs les faits, lâenquĂȘte a progressĂ© et les soupçons se tournent vers un acteur inattendu : la CorĂ©e du Nord.
Un PDF corrompu Ă lâorigine du hack
Tout a commencé de façon anodine. En septembre, un ancien employé contractuel de Radiant Capital envoie un PDF à ses ex-collÚgues pour recueillir leurs commentaires sur son travail. Une pratique courante dans le milieu. Mais ce document en apparence inoffensif cachait en réalité un cheval de Troie.
Selon Radiant Capital, ce message proviendrait en rĂ©alitĂ© dâun acteur liĂ© Ă la CorĂ©e du Nord, se faisant passer pour lâancien contractant. Le fichier ZIP joint, une fois partagĂ© avec les dĂ©veloppeurs, a livrĂ© un logiciel malveillant qui a facilitĂ© lâintrusion.
Une porte dérobée indétectable
Le malware visait Ă crĂ©er une porte dĂ©robĂ©e sur les machines des dĂ©veloppeurs. Lâattaquant a ensuite dĂ©ployĂ© de nombreux smart contracts malveillants sur diffĂ©rentes blockchains comme Arbitrum, BNB Chain, Base ou Ethereum. Ces contrats ont ensuite Ă©tĂ© utilisĂ©s pour mener Ă bien lâattaque, sans que les dĂ©veloppeurs ne sâen aperçoivent.
Les interfaces utilisateurs affichaient des donnĂ©es de transaction bĂ©nignes alors que des transactions malveillantes Ă©taient signĂ©es en arriĂšre-plan Ă lâinsu des dĂ©veloppeurs.
â Rapport dâenquĂȘte de Radiant Capital
Des techniques dâattaque avancĂ©es
La mĂ©thode utilisĂ©e Ă©tait tellement sophistiquĂ©e quâelle a permis de contourner toutes les sĂ©curitĂ©s de Radiant Capital :
- Simulation des transactions dans Tenderly
- Vérification des données utiles
- Respect des procédures opérationnelles standard
Les vĂ©rifications et simulations traditionnelles nâont rĂ©vĂ©lĂ© aucune anomalie Ă©vidente, rendant la menace pratiquement invisible lors des Ă©tapes normales dâexamen. Une fois le butin rĂ©cupĂ©rĂ©, les hackers se sont empressĂ©s de brouiller les pistes en supprimant toute trace de leur porte dĂ©robĂ©e seulement 3 minutes aprĂšs le vol.
Lâombre de la CorĂ©e du Nord
Ce nâest pas la premiĂšre fois que le rĂ©gime nord-corĂ©en est pointĂ© du doigt dans des affaires de piratage de cryptomonnaies. Quelques semaines avant le hack de Radiant Capital, la CorĂ©e du Sud accusait dĂ©jĂ son voisin dâĂȘtre Ă lâorigine du piratage de lâexchange UpBit.
LâĂ©cosystĂšme Cosmos a Ă©galement Ă©tĂ© victime dâune attaque similaire il y a quelques mois. Un dĂ©veloppeur nord-corĂ©en infiltrĂ© dans lâĂ©quipe du Liquid Staking Module de Cosmos avait introduit une faille dans le systĂšme. Heureusement, celle-ci a Ă©tĂ© identifiĂ©e avant de pouvoir ĂȘtre exploitĂ©e.
Un signal dâalarme pour la sĂ©curitĂ© blockchain
Cette nouvelle attaque montre une fois de plus la nĂ©cessitĂ© de renforcer la sĂ©curitĂ© des protocoles blockchain et DeFi. MĂȘme les Ă©quipes les plus expĂ©rimentĂ©es peuvent se faire piĂ©ger par des techniques dâingĂ©nierie sociale de plus en plus Ă©voluĂ©es.
Quelques mesures essentielles Ă mettre en place :
- Sensibiliser les Ă©quipes aux risques de phishing et dâingĂ©nierie sociale
- Mettre en place des procédures strictes de vérification des fichiers entrants
- Effectuer des audits de sécurité réguliers et approfondis des smart contracts
- Surveiller en permanence les activités on-chain suspectes
Le hack de Radiant Capital est un signal dâalarme pour tout lâĂ©cosystĂšme. Il rappelle que la sĂ©curitĂ© doit ĂȘtre une prioritĂ© absolue Ă tous les niveaux, des individus aux protocoles en passant par les entreprises. Câest Ă ce prix que nous pourrons bĂątir un avenir pĂ©renne et digne de confiance pour les cryptomonnaies et la blockchain.
