Radiant Capital теряет $50 млн из-за второй в этом году атаки на блокчейн

По данным экспертов по безопасности и блокчейн-данных, блокчейн-протокол Radiant Capital в среду потерял более 50 миллионов долларов в результате предполагаемой кибератаки.

По словам экспертов по безопасности, злоумышленник получил контроль над блокчейн-контрактами Radiant Capital, получив три «закрытых ключа», контролирующих протокол.

«Контракты Radiant Capital эксплуатировались в цепочках BSC и ARB с помощью функции «transferFrom»», — пояснила компания по безопасности Web3 De.Fi на сайте X. Эксплойт позволял злоумышленникам «выводить средства пользователей, а именно $ USDC $ WBNB $ ETH и другие», — заявила компания.

Radiant контролируется кошельком с мультиподписью или «мультисигнатурой» с 11 подписантами, сообщил De.Fi в отдельном сообщении X. Злоумышленник, по-видимому, смог получить «закрытые ключи» трех из этих подписантов, чего оказалось достаточно для обновления смарт-контрактов платформы.

Платформа Radiant предлагает пользователям ряд услуг по заимствованию, предоставлению взаймы и обмену криптовалютами между блокчейнами.

Это уже второй случай в этом году, когда протокол стал объектом атаки: в январе Radiant потерял 4,5 миллиона долларов в результате не связанного с этим взлома, вызванного ошибкой в его смарт-контрактах.

На момент публикации не было ясно, каким образом были саботированы закрытые ключи в ходе атаки в среду. Некоторые члены группы безопасности Ethereum в Telegram, приложении для обмена сообщениями, предположили, что атака могла произойти из-за скомпрометированного фронтенда — то есть законные держатели ключей Radiant могли случайно взаимодействовать с протоколом, содержащим вредоносное ПО.

Компания Radiant признала факт взлома в сообщении на своем официальном аккаунте X, но не предоставила конкретных подробностей.

«Мы знаем о проблеме с Рынки Radiant Lending на Binance Chain и ARBITRUM», — заявили в Radiant . «Мы работаем с SEAL911, Hypernative, ZeroShadow и Chainalysis и предоставим обновление как можно скорее. Рынки на Base и Mainnet приостановлены до дальнейшего уведомления».

Radiant, контролируемая децентрализованным автономным сообществом (DAO), заявляет на своем веб-сайте, что ее миссия заключается в «объединении миллиардов фрагментированной ликвидности на денежных Рынки Web3 в рамках ONE безопасного, удобного для пользователя и эффективного с точки зрения капитала омничейна».

Это развивающаяся история. Radiant Capital не сразу ответил на Request о комментарии.

ОБНОВЛЕНИЕ (20:45 UTC, 16.10.24): Добавлена справочная информация о Radiant и еще одном взломе в январе 2024 года.