ru
Назад к списку

Лендинговый протокол Radiant Capital был взломан на более чем $50 млн

source-logo  incrypted.com 17 Октябрь 2024 03:48, UTC
  • Кошелек с мультиподписью проекта Radiant Capital был скомпрометирован.
  • Злоумышленники получили доступ к средствам пользователей кредитных пулов проекта.
  • Ориентировочный ущерб составляет более $50 млн.
  • Один из проектов в сфере кибербезопасности поделился фишинговой ссылкой на просьбу дать инструкцию по отзыву разрешений для контрактов.

Лендинговый протокол Radiant Capital был взломан посредством компрометации закрытого ключа. Вероятный ущерб составляет более $50 млн.

В числе первых об этом заявили эксперты Cyvers:

🚨ALERT🚨
Our system has detected suspicious transactions involving @RDNTCapital on multiple chains.

It appears that the platform has suffered a private key compromise, leading to an ongoing attack. A malicious actor gained control of multi-sig wallets and has already drained… pic.twitter.com/hP8hKit3jD

— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) October 16, 2024

Согласно их данным, злоумышленники получили доступ к адресам как минимум троих из 11 держателей ключей к кошельку с мультиподписью. Они использовали его для смены владельца смарт-контракта LendingPoolAddressesProvider.

Затем хакеры изменили логику кредитных пулов на контракт с так называемым бэкдором, что позволило им получить доступ к средствам пользователей посредством функции «transferFrom».

В команде Radiant Capital подтвердили факт подозрительной активности. Тут заявили, что уже работают с ончейн-аналитиками и пообещали предоставить все подробности позже:

We are aware of an issue with the Radiant Lending markets on Binance Chain and Arbitrum. We are working with SEAL911, Hypernative, ZeroShadow & Chainalysis and will provide an update as soon as possible. Markets on Base and Mainnet are paused until further notice.

— Radiant Capital (@RDNTCapital) October 16, 2024

Ориентировочно, инцидент затронул пулы протокола в сетях Binance Chain и Arbitrum. Команда проекта заявила, что также приостановила работу в Ethereum и Base.

Точный объем ущерба неизвестен. Эксперты Cyvers назвали сумму приблизительно в $50 млн, De.Fi — $58 млн.

Как эксперты, так и разработчики протокола порекомендовали пользователям в кратчайшие сроки отозвать разрешения для ряда контрактов.

Please revoke access to the following contracts on https://t.co/JqPsJBBfNS.

0xF4B1486DD74D07706052A33d31d7c0AAFD0659E1
0x30798cFe2CCa822321ceed7e6085e633aAbC492F
0xd50Cf00b6e600Dd036Ba8eF475677d816d6c4281
0xA950974f64aA33f27F6C5e017eEE93BF7588ED07 https://t.co/x4l7J8UVeT

— Radiant Capital (@RDNTCapital) October 16, 2024

С этим связана курьезная ситуация. Один из проектов в сфере кибербезопасности — Ancilia — в публикации о взломе поделился фишинговой ссылкой, которая якобы гарантировала быстрый отзыв разрешений.

Заметку быстро удалили, но ее скриншот успели сохранить в сообществе:

For fuck's sake, if you are a 'trusted' security account, you need to absolutely make sure to never do this pic.twitter.com/2jrpN7P00L

— Spreek (@spreekaway) October 16, 2024

«Ради всего святого, если вы являетесь “доверенной” учетной записью в сфере безопасности, вам совершенно точно не нужно этого делать», — заявил один из пользователей.

Ранее мы освещали отчет экспертов PeckShield об инцидентах, связанных с кибербезопасностью в сентябре 2024 года. Согласно ему, общий ущерб от таких случаев составил $120 млн.

incrypted.com