Hack chez Radiant Capital : un hacker nord-coréen serait à l’origine du vol de 50 millions de dollars
En octobre dernier, le protocole Radiant Capital a été la cible d’un hack d’envergure. Au total, plus de 50 millions de dollars avaient été dérobés par le hacker. Quatre mois après les faits, il semblerait que l’origine de l’attaque pointe dans la direction d’un hacker nord-coréen. Une nouvelle accusation, seulement quelques semaines après que la Corée du Sud ait accusé son voisin d’être à l’origine du hack de UpBit.
- Radiant Capital a été victime d’un hack de 50 millions de dollars en octobre, attribué à un hacker nord-coréen se faisant passer pour un ancien employé.
- Le hacker a utilisé un cheval de Troie sous forme de PDF pour introduire un logiciel malveillant, permettant une attaque sophistiquée et quasiment indétectable.
Radiant Capital victime d’un hacker nord-coréen
Suite au hack dont ils ont été victimes, les équipes de Radiant Capital mènent l’enquête depuis plusieurs mois. Ainsi, ils se sont associés avec ZeroShadow ainsi que Hypernative, pour traquer et monitorer les actifs dérobés on-chain.
Finalement, le 7 décembre, Radiant Capital a publié un article sur son blog officiel revenant sur l’affaire.
« Ce résumé fournit des résultats supplémentaires de l’enquête en cours de Mandiant, détaillant les tactiques avancées de l’attaquant et soulignant le besoin urgent d’améliorer les pratiques de vérification des transactions à l’échelle du secteur. »
Ainsi, nous apprenons que l’attaque a été menée par quelqu’un se faisant passer pour un ancien employé contractuel du protocole. En septembre dernier, celui-ci envoie un PDF afin de demander des commentaires sur son travail à ses anciens collègues. Jusqu’ici rien de surprenant, car il s’agit d’une pratique courante dans le domaine.
Un PDF et tout s’en va
D’autant plus que sa position d’ancien contractuel lui accorde la confiance de Radiant Capital. Malheureusement, ledit PDF n’était autre qu’un cheval de Troie.
« Après examen, ce message est suspecté de provenir d’un acteur lié à la Corée du Nord, se faisant passer pour l’ancien contractant. Ce fichier ZIP, lorsqu’il a été partagé avec d’autres développeurs pour recueillir leurs commentaires, a finalement livré un logiciel malveillant qui a facilité l’intrusion qui a suivi. »
En pratique, ce logiciel malveillant vise à créer une porte dérobée sur la machine de sa victime. Par la suite, l’attaquant a déployé de nombreux smart contracts malveillants sur Arbitrum, la BNB Chain, Base ou encore Ethereum. Ces derniers ont par la suite été utilisés pour mener à bien l’attaque.
De leur côté, les développeurs de Radiant n’y ont vu que du feu. En effet, la méthode était tellement sophistiquée qu’elle a permis aux hacker de contourner toutes les sécurités de Radiant, telles que la simulation des transactions dans Tenderly, la vérification des données utiles et le respect des procédures opérationnelles standard à chaque étape.
De leur côté, les interfaces utilisateurs du protocole affichaient des données de transaction bénignes alors que des transactions malveillantes étaient signées en arrière-plan sans que les développeurs ne s’en rendent compte. Les vérifications et simulations traditionnelles n’ont révélé aucune anomalie évidente, ce qui a rendu la menace pratiquement invisible au cours des étapes normales d’examen.
Après avoir récupéré leur larcin, les hackers ont rapidement entrepris de brouiller les pistes.
« Trois minutes après avoir exécuté le vol le 16 octobre 2024, ils ont rapidement supprimé les traces de leur porte dérobée de deuxième étape et des extensions de navigateur correspondantes. »
Il y a quelques mois, l’écosystème Cosmos a été la victime d’une attaque similaire. Ainsi, un développeur nord-coréen infiltré dans l’équipe de développement du Liquid Staking Module de Cosmos a été en mesure d’introduire une faille dans le système. Heureusement, celle-ci a été identifiée avant qu’elle ne puisse être exploitée.
Renaud H.
Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.
