Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 211Détournement de frontend

Détournement multi-sig de Radiant Capital

53 M$ drainés du multi-sig 3-de-11 de Radiant : un malware macOS a frappé trois signataires ; l'UI Safe affichait des tx propres pendant la signature.

Date
Victime
Radiant Capital
Chaîne(s)
ArbitrumBNB Chain
Statut
Fonds dérobés
Attribution
UNC4736 / Citrine Sleet / Lazarus Group (DPRK)

Le 16 octobre 2024, le protocole de prêt cross-chain Radiant Capital a perdu environ 53 millions de dollars lors de sa deuxième attaque majeure de l'année. Le bug n'était pas dans les contrats de Radiant — il était dans ce que ses signataires voyaient sur leurs écrans pendant la signature.

Ce qui s'est passé

L'histoire commence le 11 septembre 2024, lorsqu'un développeur Radiant a reçu un message Telegram de quelqu'un se faisant passer pour un ancien contractant de confiance. Le message demandait des commentaires sur un audit de contrat intelligent et incluait un fichier ZIP avec un PDF leurre — et une charge utile de malware macOS, InletDrift, qui établissait une backdoor persistante.

Au cours des semaines suivantes, le malware a été déployé sur les machines d'au moins trois signataires.

Radiant exigeait 3 sur 11 signatures pour autoriser les actions privilégiées sur son multi-sig Safe. Lorsque les attaquants étaient prêts, ils ont déclenché une transaction d'apparence routinière sur l'interface Gnosis Safe. Aux yeux des signataires, l'UI affichait la transaction bénigne qu'ils attendaient. Le trafic atteignant réellement leurs hardware wallets, intercepté et réécrit par le malware, était une mise à niveau malveillante transférant le contrôle des marchés de prêt.

Trois signatures collectées. La mise à niveau exécutée. 53 M$ drainés sur Arbitrum et BNB Chain.

Conséquences

  • Mandiant et d'autres ont attribué l'opération à UNC4736 / Citrine Sleet — également suivi sous AppleJeus — un sous-cluster Lazarus connu pour la campagne InletDrift de longue durée.
  • L'attaquant de Radiant a conservé une part substantielle de l'ETH volé et aurait augmenté la position à plus de 100 M$ en valeur papier via le trading ETH ultérieur.
  • Radiant a relancé les marchés après des mois d'audits et de redéploiements de contrats. Les récupérations pour les utilisateurs affectés sont venues principalement par réémission de jetons contrôlée par la gouvernance.

Pourquoi c'est important

Radiant était le cas d'école pour ce qui s'est ensuite produit à grande échelle chez WazirX et Bybit : la frontière de confiance d'un hardware wallet s'arrête à l'écran depuis lequel vous lisez la transaction. Les affichages indépendants de simulation de transactions et la vérification de calldata hors bande sont depuis devenus une pratique standard pour tout multi-sig gérant une TVL significative.

Sources & preuves on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-radiant-capital-hack-october-2024
  2. [02]onekey.sohttps://onekey.so/blog/ecosystem/one-pdf-50m-gone-the-radiant-capital-hack-explained/
  3. [03]medium.comhttps://medium.com/@marcellusv2/anatomy-of-a-53-million-hack-how-radiant-capitals-multisig-failed-121fca23a996

Dépôts liés