incrypted.com
- Кошелек с мультиподписью проекта Radiant Capital был скомпрометирован.
- Злоумышленники получили доступ к средствам пользователей кредитных пулов проекта.
- Ориентировочный ущерб составляет более $50 млн.
- Один из проектов в сфере кибербезопасности поделился фишинговой ссылкой на просьбу дать инструкцию по отзыву разрешений для контрактов.
Лендинговый протокол Radiant Capital был взломан посредством компрометации закрытого ключа. Вероятный ущерб составляет более $50 млн.
В числе первых об этом заявили эксперты Cyvers:
🚨ALERT🚨
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) October 16, 2024
Our system has detected suspicious transactions involving @RDNTCapital on multiple chains.
It appears that the platform has suffered a private key compromise, leading to an ongoing attack. A malicious actor gained control of multi-sig wallets and has already drained… pic.twitter.com/hP8hKit3jD
Согласно их данным, злоумышленники получили доступ к адресам как минимум троих из 11 держателей ключей к кошельку с мультиподписью. Они использовали его для смены владельца смарт-контракта LendingPoolAddressesProvider.
Затем хакеры изменили логику кредитных пулов на контракт с так называемым бэкдором, что позволило им получить доступ к средствам пользователей посредством функции «transferFrom».
В команде Radiant Capital подтвердили факт подозрительной активности. Тут заявили, что уже работают с ончейн-аналитиками и пообещали предоставить все подробности позже:
We are aware of an issue with the Radiant Lending markets on Binance Chain and Arbitrum. We are working with SEAL911, Hypernative, ZeroShadow & Chainalysis and will provide an update as soon as possible. Markets on Base and Mainnet are paused until further notice.
— Radiant Capital (@RDNTCapital) October 16, 2024
Ориентировочно, инцидент затронул пулы протокола в сетях Binance Chain и Arbitrum. Команда проекта заявила, что также приостановила работу в Ethereum и Base.
Точный объем ущерба неизвестен. Эксперты Cyvers назвали сумму приблизительно в $50 млн, De.Fi — $58 млн.
Как эксперты, так и разработчики протокола порекомендовали пользователям в кратчайшие сроки отозвать разрешения для ряда контрактов.
Please revoke access to the following contracts on https://t.co/JqPsJBBfNS.
— Radiant Capital (@RDNTCapital) October 16, 2024
0xF4B1486DD74D07706052A33d31d7c0AAFD0659E1
0x30798cFe2CCa822321ceed7e6085e633aAbC492F
0xd50Cf00b6e600Dd036Ba8eF475677d816d6c4281
0xA950974f64aA33f27F6C5e017eEE93BF7588ED07 https://t.co/x4l7J8UVeT
С этим связана курьезная ситуация. Один из проектов в сфере кибербезопасности — Ancilia — в публикации о взломе поделился фишинговой ссылкой, которая якобы гарантировала быстрый отзыв разрешений.
Заметку быстро удалили, но ее скриншот успели сохранить в сообществе:
For fuck's sake, if you are a 'trusted' security account, you need to absolutely make sure to never do this pic.twitter.com/2jrpN7P00L
— Spreek (@spreekaway) October 16, 2024
«Ради всего святого, если вы являетесь “доверенной” учетной записью в сфере безопасности, вам совершенно точно не нужно этого делать», — заявил один из пользователей.
Ранее мы освещали отчет экспертов PeckShield об инцидентах, связанных с кибербезопасностью в сентябре 2024 года. Согласно ему, общий ущерб от таких случаев составил $120 млн.