📣 Radiant Capital подвергся масштабной хакерской атаке
опубликовано 17 окт 2024
Хакеры получили доступ к трем приватным ключам, через которые осуществляется контроль над протоколом Radiant. Это позволило им манипулировать смарт-контрактами и вывести средства пользователей.
Об этом сообщила компания DeFi Antivirus Web3 на своей странице в сети Х.
Атака произошла в сетях Binance Smart Chain и Arbitrum. Злоумышленники воспользовались уязвимостью в функции transferFrom*, которая позволила им переводить средства пользователей без их согласия.
*Функция transferFrom является одной из самых распространенных функций в смарт-контрактах, связанных с токенами ERC-20. Она позволяет одной учётной записи переводить на свой счёт токены из другой учётной записи. Уникальность transferFrom заключается в том, что токены необязательно должны принадлежать лицу, заключающему контракт. Перед выполнением перевода функция проверяет, авторизовал ли отправитель этот перевод. Это делается с помощью подписи, которая создается приватным ключом отправителя. Дополнительно функция проверяет, имеет ли отправитель достаточное количество токенов для выполнения перевода. Если оба условия выполнены — осуществляет транзакцию.
DeFi-протоколы остаются лакомым кусочком для хакеров
Radiant Capital, как и многие другие децентрализованные финансовые протоколы, использует систему мультиподписи для защиты своих средств. Однако хакерам удалось обойти эту систему, получив доступ к достаточному количеству приватных ключей, чтобы провести эксплойт.
Сейчас расследуется, как именно злоумышленникам удалось получить контроль над приватными ключами. Одна из версий — это возможная компрометация фронтенда платформы, что позволило хакерам подменить законные инструменты управления.
Radiant Capital уже приостановил работу своих рынков и начал сотрудничество с несколькими компаниями по кибербезопасности для расследования инцидента и восстановления потерянных средств.
Атака на Radiant Capital еще раз демонстрирует риски, связанные с использованием DeFi-протоколов. Несмотря на высокий уровень децентрализации, такие платформы остаются уязвимыми к хакерским атакам. Доказано, что большинство атак связано со взломами смарт-контрактов. Поэтому разработчики таких протоколов должны уделять особое внимание безопасности кода. Перед запуском любого децентрализованного финансового проекта необходимо проводить тщательный аудит смарт-контрактов.
Похоже, что хак Radiant Capital в январе 2024 года, когда платформа потеряла почти 1900 ETH, ничему ее не научил.
Читайте также: Хакер устроил аттракцион невиданной щедрости
Больше актуальных новостей
Больше актуальных новостей
Breaking news