Une attaque frappe Arbitrum. Radiant Capital, est un protocole d’épargne et d’emprunt multi-chaîne. Sous le capot, celui-ci se base sur la technologie de LayerZero. Cela permet aux utilisateurs d’accéder aux liquidités, quelle que soit la chaîne où ils se trouvent. Néanmoins, un marché hébergé sur Arbitrum a été la cible d’un hack entraînant la perte de plusieurs millions de dollars.
Radiant Capital victime d’un hack à 4,5 millions de dollars
Mercredi 3 janvier, au petit matin, l’entreprise PeckShield spécialisée dans la sécurité on-chain a tiré la sonnette d’alarme concernant Radiant sur Arbitum.
Ainsi, PeckShield a dévoilé qu’une attaque avait été menée, entraînant la perte de 1 900 ETH. Cela représente 4,5 millions de dollars au cours actuel. En pratique, il semblerait que l’attaque ait ciblé le marché USDC sur le layer 2 Arbitrum.
Quelques minutes plus tard, Radiant Capital a confirmé l’information via une publication sur son compte X (Twitter). Ils ont alors annoncé mettre en pause les marchés déployés sur Arbitrum en attendant que la faille soit découverte et corrigée. L’équipe a enfin souhaité rassurer les utilisateurs en indiquant qu’aucun fonds supplémentaire n’était à risque.
« Aujourd’hui, nous avons reçu un rapport sur un problème avec le marché USDC nouvellement créé sur Arbitrum. Après validation par les développeurs de Radiant et la communauté de sécurité de Web 3, le Conseil de la DAO Radiant a mis en pause les marchés de prêt/emprunt sur Arbitrum temporairement pendant que l’enquête se poursuit. Aucun fonds actuel n’est en danger. »
Origine et déroulement de l’attaque
Comme expliqué par PeckShield, il semblerait que le protocole Radiant fasse l’objet d’une faille au niveau des arrondis. Ainsi, en enchaînant plusieurs dépôts et retraits sur le protocole, l’attaquant a été en mesure de siphonner 4,5 millions de dollars.
Malheureusement, comme le précise PeckShield, il s’agit là d’une vulnérabilité déjà bien connue. En effet, celle-ci est également présente sur les protocoles Aave et Compound.
« L’exploitation repose également sur un problème d’arrondi connu dans la base de code actuelle de Compound/Aave. »
Toutefois, cette faille ne peut être exploitée qu’au lancement d’un nouveau marché. Et ça, l’attaquant était bien au courant. En effet, celui-ci a lancé son attaque 6 secondes après le déploiement du nouveau marché USDC sur Radiant.
Une méthode pour éviter ce vecteur d’attaque réside dans le fait d’effectuer un dépôt initial dans la pool lors de sa création. Une méthode qui semble être utilisée par Aave lors de l’ajout de nouveaux marchés, mais qui n’est pas appliquée par l’ensemble des protocoles ayant copié son code source.
L’année commence comme nous l’avons clôturée : avec un hack. En effet, le 31 décembre, alors que nous fêtions la nouvelle année, le protocole Orbit a été victime d’un hack de plus de 80 millions de dollars.
