Le protocole de prêt blockchain Radiant Capital a perdu plus de 50 millions de dollars mercredi à la suite d'une cyberattaque apparente, selon des experts en sécurité et des données blockchain.
Un attaquant a pris le contrôle des contrats blockchain de Radiant Capital en obtenant trois des « clés privées » qui contrôlent le protocole, ont déclaré des experts en sécurité.
« Les contrats Radiant Capital ont été exploités sur les chaînes BSC et ARB avec la fonction 'transferFrom' », a expliqué la société de sécurité Web3 De.Fi sur X. L'exploit a permis aux attaquants de « drainer les fonds des utilisateurs, à savoir $USDC $WBNB $ETH et autres », a déclaré la société.
Radiant est contrôlé par un portefeuille multi-signatures, ou « multisig », avec 11 signataires, a déclaré De.Fi dans un autre article X. L'attaquant a apparemment pu obtenir les « clés privées » de trois de ces signataires, ce qui a suffi à mettre à niveau les contrats intelligents de la plateforme.
La plateforme Radiant comprend une suite d'outils permettant aux utilisateurs d'emprunter, de prêter et de relier des crypto-monnaies à travers des blockchains.
C'est la deuxième fois cette année que le protocole est la cible d'un exploit : en janvier, Radiant a perdu 4,5 millions de dollars dans un piratage sans rapport résultant d'un bug dans ses contrats intelligents.
Au moment de la mise sous presse, on ne savait pas exactement comment les clés privées avaient été sabotées lors de l'attaque de mercredi. Certains membres d'un groupe de sécurité Ethereum sur Telegram, l'application de messagerie, ont émis l'hypothèse que l'attaque aurait pu provenir d'un front-end compromis, ce qui signifie que les détenteurs légitimes de clés Radiant auraient pu interagir accidentellement avec un protocole contenant des logiciels malveillants.
Radiant a reconnu l'exploit dans un message publié sur son compte X officiel, mais n'a pas fourni de détails spécifiques.
« Nous sommes conscients d'un problème avec les marchés Radiant Lending sur Binance Chain et Arbitrum », a déclaré Radiant. « Nous travaillons avec SEAL911, Hypernative, ZeroShadow et Chainalysis et fournirons une mise à jour dès que possible. Les marchés sur Base et Mainnet sont suspendus jusqu'à nouvel ordre. »
Radiant, qui est contrôlée par une communauté autonome décentralisée, ou DAO, indique sur son site Web que sa mission est « d'unifier les milliards de liquidités fragmentées sur les marchés monétaires du Web3 sous une chaîne omnicanale sûre, conviviale et efficace en termes de capital ».
Il s'agit d'une affaire en cours de développement. Radiant Capital n'a pas immédiatement répondu à une demande de commentaire.
MISE À JOUR (20h45 UTC, 16/10/24) : Ajoute des informations générales concernant Radiant et un autre hack en janvier 2024.