Legalább 51 millió dollárt veszített a Radiant Capital
A Radiant Capital egy úgynevezett omnichain hitelezési platform és pénzpiac, ahol a felhasználók különféle nagyobb blokkláncokra fizethetnek be eszközöket, adhatnak kölcsön, kereshetnek pénzt hitelezéssel és így tovább. Friss hírek szerint egy sebezhetőségen keresztül támadás érte a platformot. Az Arkham Intelligence adatai szerint még október 16-án kezdődött a támadás. A Web3 biztonsági kérdésekkel foglalkozó Ancilia X-posztjában arról írt, hogy feltűnt néhány furcsa transferFrom funkció, ami felhasználó számlákról mozgatott tőkét a 0xd50cf00b6e600dd036ba8ef475677d816d6c4281 számú szerződésen keresztül.
A transferFrom sebezhetőség az okosszerződés transferFrom funkcióját használja arra, hogy az egyik fiók egy meghatározott számú tokent küldjön egy célszámláról egy harmadik fiókba. Ehhez általában az áldozat fiókjának engedélyt kell adnia az interakcióra egy hamisított tárcacímmel. Az Ancilia arra kérte a Radiant felhasználókat, hogy biztonsági intézkedésként vonják vissza az összes Radiant okosszerződésnek adott engedélyt.
A Radiant legalább 51 millió dollárt veszített
A Fuzzland biztonsági kutatási vezetője, Tony Ke szerint a Radiant Capital egy hackertámadás áldozatává vált, amely eddig 51 millió dollárnyi veszteséget okozott az Arbitrum és a BSC láncokon. Az Ethereum és a Base telepítések biztonságosnak tűnnek, de mindenkit arra figyelmeztetett, hogy jelenleg óvatosan lépjen kapcsolatba ezekkel a szerződésekkel. A Radiantot egy 11 aláíróval rendelkező többaláírásos, azaz „multisig” tárca irányítja. A támadó a jelek szerint képes volt megszerezni három ilyen aláíró „privát kulcsát”, ami elég volt a platform okosszerződéseinek frissítéséhez. Idén ez a második alkalom, hogy a protokoll támadás áldozata lett. Januárban a Radiant 4,5 millió dollárt veszített egy hackertámadás során, amely az okosszerződések hibájából eredt. Az még nem világos, hogy a szerdai támadás során hogyan szabotálták a privát kulcsokat.
Egy Telegramos Ethereum biztonsági csoport néhány tagja azt feltételezi, hogy a támadás egy kompromittált frontend eredménye. Vagyis a Radiant kulcsok jogos tulajdonosai véletlenül kapcsolatba kerülhettek egy rosszindulatú szoftverrel megspékelt protokollal. A Radiant a hivatalos X-fiókján közzétett bejegyzésben elismerte a támadást, de konkrét részletekkel nem szolgált. A hacker többek között BNB, ETH, USDC és USDT tokenek csomagolt verzióit vitte át egy Radiant által ellenőrzött pénztárcából egy 0x0629b kezdetű címre. Ez a tárca jelenleg több mint 5 millió dollár értékű BNB-egyenleggel rendelkezik. Ugyanennek a tárcának a DeBank fiókja 51 millió dolláros egyenleget mutat. A tokenállomány 2619512,54%-kal nőtt a létrehozása óta, ami azt jelzi, hogy a támadás sokkal szélesebb körű lehet. A támadó címén több mint 32 millió dollár értékű Arbitrum-alapú eszköz van, és körülbelül 18 millió dollár értékű token a BNB Chain-en.