Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 208Compromission de clé privée

Compromission de clé unique de DeltaPrime

DeltaPrime a perdu 6 M$ sur Arbitrum après l'extraction d'une clé unique ; l'équipe utilisait un multi-sig sur Avalanche. ZachXBT a relié à Lazarus.

Date
Victime
DeltaPrime
Chaîne(s)
Arbitrum
Statut
Fonds dérobés
Attribution
Suspected Lazarus Group (DPRK)

Le 16 septembre 2024, le protocole d'emprunt DeFi cross-chain DeltaPrime a perdu environ 6 millions de dollars lorsqu'un attaquant a compromis la clé privée unique contrôlant les contrats du protocole côté Arbitrum. L'équipe exploitait le même protocole sur Avalanche derrière un multi-sig avec ségrégation cold-storage ; le déploiement Avalanche est resté intact.

Ce qui s'est passé

Les déploiements Arbitrum et Avalanche de DeltaPrime partageaient la même logique de protocole mais avaient des postures de sécurité opérationnelle différentes :

  • Côté Avalanche : wallet multi-sig, cold-storage des clés admin, chemin de signature séparé.
  • Côté Arbitrum : une seule clé privée avec autorité administrative complète sur les contrats.

L'attaquant — dont le pattern de blanchiment a été plus tard lié par ZachXBT à des opérateurs nord-coréens — a obtenu la clé unique côté Arbitrum. Le vecteur de compromission n'a pas été divulgué publiquement, mais les preuves on-chain suggéraient un malware standard au niveau endpoint sur la machine d'un détenteur de clé.

Avec la clé en main, l'attaquant :

  1. A pris le contrôle des fonctions admin privilégiées sur les contrats Arbitrum de DeltaPrime.
  2. A drainé environ 6 M$ en ARB, AVAX et stablecoins via des chemins de retrait forcés que seul le rôle admin pouvait déclencher.
  3. A bridgé les fonds hors d'Arbitrum et via les routes de blanchiment standards de Lazarus.

L'équipe DeltaPrime a confirmé publiquement que son architecture multi-sig + cold-storage côté Avalanche avait spécifiquement protégé ces contrats de la même compromission — un test A/B propre de la valeur de l'investissement en sécurité opérationnelle.

Conséquences

  • DeltaPrime a suspendu les contrats Arbitrum et annoncé un plan d'indemnisation.
  • L'équipe a migré Arbitrum vers le même modèle multi-sig + cold-storage déjà en place sur Avalanche.
  • Un exploit distinct le 11 novembre 2024 a drainé 4,85 M$ supplémentaires via une autre classe de bug (logique non vérifiée dans swapDebtParaSwap), affectant cette fois les deux chaînes. DeltaPrime ne s'est jamais totalement remis.

Pourquoi c'est important

DeltaPrime est l'un des cas les plus nets pour illustrer pourquoi l'hygiène de déploiement doit accompagner le protocole sur toutes les chaînes. Un protocole multi-chaînes déployant sur un nouveau réseau réplique souvent le code des contrats mais pas la sécurité opérationnelle off-chain — la configuration Safe multi-sig, le flux de signature hardware-wallet, les procédures de rotation — parce que cela demande un effort humain qui ne se fork pas aussi facilement que du Solidity.

Le résultat, payé en 6 M$ de vrais fonds clients, est que la chaîne avec l'ops la plus laxiste est la surface d'attaque, et l'attaquant attend simplement.

Sources & preuves on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-deltaprime-hack-september-2024
  2. [02]coindesk.comhttps://www.coindesk.com/markets/2024/09/16/crypto-broker-deltaprime-drained-of-over-6m-amid-apparent-private-key-leak
  3. [03]cybersecuritynews.comhttps://cybersecuritynews.com/deltaprime-exploited/

Dépôts liés