Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 152Compromission de clé privée

Compromission de clé deployer Steadefi

1,14 M$ drainés de Steadefi sur Arbitrum et Avalanche après compromission de la clé deployer, permettant à l'attaquant de saisir les coffres à effet de levier.

Date
Victime
Steadefi
Chaîne(s)
ArbitrumAvalanche
Statut
Fonds dérobés
Attribution
Suspected Lazarus Group (DPRK)

Le 7 août 2023, le protocole de rendement à effet de levier Steadefi a perdu environ 1,14 million de dollars sur Arbitrum et Avalanche après que sa clé privée deployer a été compromise. L'attaquant a transféré la propriété des contrats à lui-même et drainé la collatéral des coffres à effet de levier du protocole. Les TTP étaient cohérentes avec les opérations du groupe Lazarus contre les développeurs DeFi à la même période.

Ce qui s'est passé

Steadefi exploitait des coffres de rendement à effet de levier automatisés. Les contrats du protocole étaient contrôlés par une clé deployer avec autorité de propriété/admin.

La compromission n'était pas un bug de contrat intelligent — la logique des coffres de Steadefi fonctionnait comme conçue. L'attaquant :

  1. A obtenu la clé privée deployer — vecteur non détaillé publiquement, mais cohérent avec le pattern de malware endpoint / ingénierie sociale que Lazarus déroulait contre les développeurs DeFi tout au long de 2023 (Atomic Wallet, Stake.com, et d'autres dans la même fenêtre).
  2. A transféré la propriété du contrat à une adresse contrôlée par l'attaquant en utilisant la fonction légitime de transfert de propriété.
  3. Avec la propriété, a drainé la collatéral et les positions empruntées des coffres à effet de levier sur les deux chaînes.
  4. Total extrait : environ 1,14 M$, blanchi via Tornado Cash.

Conséquences

  • Steadefi a mis en pause les opérations et divulgué la compromission de la clé deployer.
  • Le protocole a effectivement été démantelé ; la perte était petite en absolu mais terminale pour un protocole de la taille de Steadefi.
  • Le pattern de blanchiment de l'attaquant correspondait aux opérations DeFi concurrentes de Lazarus.

Pourquoi c'est important

Steadefi est une entrée à faible montant en dollars mais structurellement nette dans le plus grand thème unique du catalogue : les clés deployer/admin uniques sont le véritable modèle de sécurité, indépendamment de la qualité du contrat, et elles sont une cible primaire de Lazarus.

La même cause racine — compromission de clé deployer/admin, généralement via malware endpoint ou ingénierie sociale d'un développeur — traverse :

  • EasyFi (2021, 81 M$) — coffre MetaMask du CEO volé depuis un laptop.
  • bZx November 2021 (55 M$) — phishing → macro Word → clés.
  • Steadefi (2023, 1,14 M$) — compromission clé deployer.
  • Radiant Capital (2024, 53 M$) — malware Telegram → tromperie d'UI multi-sig.
  • Bybit (2025, 1,46 G$) — compromission supply-chain développeur Safe{Wallet}.

Les montants en dollars couvrent quatre ordres de grandeur ; la cause racine est identique. La manière la moins chère, la plus fiable, la plus répétée de drainer un protocole crypto n'est pas de casser ses contrats — c'est de compromettre l'humain qui détient ses clés. Steadefi est un des plus petits points de données sur cette ligne, mais il siège exactement sur la même ligne que les incidents à un milliard, et la réponse défensive est la même à toute échelle : signature uniquement par hardware wallet, multi-sig avec signataires indépendants géographiquement distribués, opérations admin avec timelock, et l'hypothèse que la machine de tout détenteur de clé unique est déjà compromise.

Sources & preuves on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-steadefi-hack-august-2023
  2. [02]coinedition.comhttps://coinedition.com/defi-protocol-steadefi-exploited-for-over-1-1-million/
  3. [03]rekt.newshttps://rekt.news/steadefi-rekt

Dépôts liés