Les portefeuilles de DeltaPrime ont été compromis, entraînant une perte de plus de 5,9 millions de dollars. Un pirate informatique a exploité la partie Arbitrum du protocole, détournant un proxy administratif et le redirigeant vers un contrat malveillant.
Un hacker prend le contrôle des portefeuilles DeltaPrime
Au petit matin européen, Cyvers Alerts, une plateforme de sécurité blockchain, a été la première à tirer la sonnette d'alarme concernant l'attaque contre DeltaPrime. La plateforme a signalé qu'un pirate informatique avait pris le contrôle d'un portefeuille administratif et continuait de drainer davantage de fonds. À cette époque, environ 4,5 millions de dollars avaient déjà été perdus et échangés contre des $ETH.
ALERTE @DeltaPrimeDefi a été confronté à un incident de sécurité sur ses clés admin.
L'attaquant contrôlait la clé privée de 0x40e4ff9e018462ce71fa34abdfa27b8c5e2b1afb.
puis mis à jour le proxy !Jusqu’à présent, 5,93 millions de dollars ont été drainés !
Vous souhaitez garder votre entreprise hors de notre radar d’alerte ? Apprenez… https://t.co/yOmNZJyp5l pic.twitter.com/lztFvXVmfI
– Alertes Cyvers (@CyversAlerts) 16 septembre 2024
Dans un autre article, Cyvers Alerts a confirmé que plus de 5,93 millions de dollars avaient été volés, affirmant que le pirate informatique avait pris le contrôle de la clé privée, 0x40e4ff9e018462ce71fa34abdfa27b8c5e2b1afb, avant de mettre à jour le proxy.
Selon Chaofan Shan, le fondateur de Fuzzland, le pirate informatique a redirigé les fonds du proxy administratif vers un contrat malveillant identifié comme 0xD4CA224a176A59ed1a346FA86C3e921e01659E73.
Shana déclaré que le contrat malveillant pourrait « gonfler » les sommes déposées par le pirate informatique dans tous les pools, estimant une perte de 6 millions de dollars pour DeltaPrime.
Cette dernière attaque fait suite à une cyberattaque de juillet qui a entraîné une perte d'un million de dollars touchant 13 comptes différents. Cependant, DeltaPrime a réussi à récupérer environ 900 000 $ suite à l'incident et a utilisé 100 000 $ de son pool de stabilité pour indemniser les utilisateurs concernés.
ZachXBT relie l'attaque au groupe Lazarus de la Corée du Nord
ZachXBT, un enquêteur cryptographique, a commenté la dernière attaque DeltaPrime, citant des similitudes dans les techniques utilisées avec celles des pirates informatiques Lazarus de Corée du Nord, qui ciblent et attaquent activement les protocoles DeFi.
ZachXBT a révélé que la stratégie de l'attaquant impliquait le transfert d'actifs volés entre les chaînes et le transfert de sommes importantes vers des services de confidentialité tels que Tornado Cash, cachant ainsi l'origine des fonds.
En août 2024, il s'est dit préoccupé par le fait que des membres du groupe Lazarus qu'il a contacté avaient fabriqué de fausses identités et obtenu des emplois d'informaticiens et de développeurs avant de saboter et de voler des données sensibles.