Le monde de la finance décentralisée (DeFi) a été secoué par un nouveau piratage de grande ampleur. Selon des experts en sécurité et des données de blockchain, le protocole de prêt Radiant Capital a perdu plus de 50 millions de dollars le mercredi 16 octobre 2024 suite à une cyberattaque.
Des clés privées compromises à l’origine du hack
D’après les analyses des spécialistes en sécurité blockchain, les attaquants seraient parvenus à mettre la main sur trois des onze clés privées qui contrôlent le protocole Radiant Capital. La firme de sécurité Web3 De.Fi a expliqué sur le réseau social X :
Les contrats de Radiant Capital ont été exploités sur les chaînes BSC & ARB avec la fonction ‘transferFrom’. Cela a permis aux attaquants de siphonner les fonds des utilisateurs, notamment en $USDC, $WBNB, $ETH et d’autres cryptomonnaies.
De.Fi
Le protocole Radiant est géré par un portefeuille multisignature (multisig) nécessitant la validation de 11 signataires. Mais visiblement, la compromission de seulement 3 clés privées a suffi aux pirates pour mettre à jour les smart contracts de la plateforme et dérober les fonds.
Un vecteur d’attaque encore flou
Si le mode opératoire exact de ce piratage n’est pas encore confirmé, certains membres d’un groupe de sécurité Ethereum sur Telegram avancent l’hypothèse d’une interface utilisateur compromise. Les détenteurs légitimes des clés auraient ainsi pu interagir par mégarde avec un protocole vérolé.
Radiant Capital, qui avait déjà subi un hack de 4,5 millions de dollars en janvier dernier suite à une faille dans ses smart contracts, a reconnu l’incident sur X. La DAO qui gère le protocole a déclaré travailler avec plusieurs entreprises spécialisées pour faire la lumière sur cette attaque, tout en suspendant temporairement ses marchés sur certaines blockchains.
Un nouveau coup dur pour la DeFi
Ce piratage massif représente un nouveau revers pour l’écosystème de la finance décentralisée, régulièrement ciblé par des attaques exploitant des vulnérabilités dans les protocoles. Malgré les promesses de sécurité de la blockchain, la concentration des risques dans des smart contracts complexes et des portefeuilles multisig reste un défi majeur.
Alors que les autorités tentent de réguler ce secteur en plein essor, ces incidents à répétition soulignent l’importance cruciale d’audits de sécurité rigoureux et d’une vigilance de tous les instants de la part des acteurs de la DeFi. La quête d’une finance ouverte et décentralisée ne doit pas se faire au détriment de la protection des utilisateurs.