Radiant Capital зламали на понад $50 млн

17.10.2024 ForkLog UA

Підтримуваний Binance Labs лендінг-протокол Radiant Capital зазнав атаки на суму понад $50 млн.
Хакер отримав закриті ключі трьох з 11 підписів і змінив смартконтракти.

Лендинговий протокол Radiant Capital зазнав зламу в мережах BNB Chain і Arbitrum. Команда закликала відкликати дозволи для порушених контрактів за допомогою сервісу Revoke.

Please revoke access to the following contracts on https://t.co/JqPsJBBfNS.

0xF4B1486DD74D07706052A33d31d7c0AAFD0659E1
0x30798cFe2CCa822321ceed7e6085e633aAbC492F
0xd50Cf00b6e600Dd036Ba8eF475677d816d6c4281
0xA950974f64aA33f27F6C5e017eEE93BF7588ED07 https://t.co/x4l7J8UVeT
— Radiant Capital (@RDNTCapital) October 16, 2024

Загальна сума збитків перевищила $50 млн, свідчать дані Ancilia.

3/ This address https://t.co/9tnd5IlIUr has gained almost $1m by calling 'transferFrom' function. The impact is almost ~18M now.
— Ancilia, Inc. (@AnciliaInc) October 16, 2024

«Ми помітили кілька переказів з акаунтів користувачів за допомогою transferFrom через контракт 0xd50cf00b6e600dd036ba8ef475677d816d6c4281. Будь ласка, скасуйте дозволи якомога швидше. Схоже, що нова імплементація мала вразливі функції», — зазначили експерти Ancilia.

Експлойт transferFrom використовує функцію смартконтракту, щоб дозволити одному акаунту відправити певну кількість токенів з облікового запису жертви на третій гаманець. Як правило, для цього від атакованого потрібен дозвіл на взаємодію з підробленою адресою.

За інформацією Ancilia, бекдор-контракт було розгорнуто приблизно о 20:09 Київ/МСК 16 жовтня.

Ти повинен був боротися зі злом

Ancilia випадково поділилася інструментом для крадіжки коштів із криптовалютних гаманців у спробі допомогти користувачам.

У тепер уже видаленому твіті компанія опублікувала шахрайське посилання з фейкового акаунта Radiant, звернув увагу користувач із ніком Spreek.

For fuck's sake, if you are a 'trusted' security account, you need to absolutely make sure to never do this pic.twitter.com/2jrpN7P00L
— Spreek (@spreekaway) October 16, 2024

Ancilia попросила користувачів відкликати дозволи, «перейшовши за посиланням з офіційного повідомлення». У реальності вона вела на інструмент для крадіжки коштів.

3 з 11 підписів зламані

Фірма De.Fi, що спеціалізується на кібербезпеці, повідомила про збитки на суму понад $58 млн.

🚨~$58,000,000 Exploit Alert🚨

Radiant Capital contracts were exploited on BSC & ARB chains with the 'transferFrom' function, which allowed to drain users' funds, namely $USDC $WBNB $ETH and others

⚠️Revoke approvals ASAP👇
0xd50cf00b6e600dd036ba8ef475677d816d6c4281 pic.twitter.com/oUHyshwEmL
— De.Fi Antivirus Web3 🛡️ (@De_FiSecurity) October 16, 2024

Radiant контролюється гаманцем із мультипідписом з 11 підписантами. Зловмисник, судячи з усього, зміг отримати закриті ключі трьох із них. Цього виявилося достатньо для оновлення смартконтрактів платформи, підкреслили De.Fi.

Unfortunately, yes.

However, this time, the nature of the hack is different – as in the first time, it was hacked via the flash loan; and now due to the fact that the hacker managed to get access to 3 signers – thus managed to transfer ownership and upgrade the contracts
— De.Fi Antivirus Web3 🛡️ (@De_FiSecurity) October 16, 2024

Підтримка Binance

У липні 2023 року венчурний підрозділ найбільшої криптобіржі Binance інвестував $10 млн у Radiant. Також проєкт запускався на Binance Launchpool.

Повідомлення про злам платформи призвели до падіння курсу токена RDNT — за останню добу він втратив 10%.

Radiant — кросчейн-протокол, який пропонує можливість брати та давати криптовалюту в борг. У січні він втратив $4,5 млн унаслідок атаки.

Нагадаємо, за підсумками III кварталу 2024 року збитки учасників криптоіндустрії внаслідок 155 випадків зломів і шахрайств становили $753 млн.

Читайте ForkLog UA в соціальних мережах

Знайшли помилку в тексті? Виділіть її та натисніть CTRL+ENTER

Матеріали за темою

Immunefi: за жовтень криптоіндустрія втратила $55,1 млн

В 1inch прокоментували злам застосунку й анонсували повернення коштів

Вразливість у лендінг-контрактах Base призвела до крадіжки $1 млн

Експерти припустили злом криптогаманця уряду США на $20 млн

Той, хто викрав у Indexed Finance $4,5 млн, перевів частину коштів на Tornado Cash

Криптофіатний шлюз Transak заявив про компрометацію бази клієнтів

X-акаунт EigenLayer зламали для просування фейкового аірдропа

Причетного до публікації фейку про біткоїн-ETF хакера затримало ФБР

Влада США запросила п’ять років в’язниці для хакера, який зламав Bitfinex