📣 Radiant Capital зазнав масштабної хакерської атаки
опубліковано 22 год тому
Хакери отримали доступ до трьох приватних ключів, через які здійснюється контроль над протоколом Radiant. Це дозволило їм маніпулювати смартконтрактами та вивести кошти користувачів.
Про це повідомила компанія DeFi Antivirus Web3 на своїй сторінці в мережі Х.
Атака відбулася в мережах Binance Smart Chain та Arbitrum. Зловмисники скористалися вразливістю у функції transferFrom*, яка дозволила їм переказувати кошти користувачів без їхньої згоди.
*Функція transferFrom є однією з найпоширеніших функцій у смартконтрактах, що пов'язані з токенами ERC-20. Вона дозволяє одному обліковому запису переказувати на свій рахунок токени з іншого облікового запису. Унікальність transferFrom полягає в тому, що токени необов'язково повинні належати особі, яка укладає контракт. Перед виконанням переказу функція перевіряє, чи відправник авторизував цей переказ. Це робиться за допомогою підпису, який створюється приватним ключем відправника. Додатково функція перевіряє, чи має відправник достатню кількість токенів для виконання переказу. Якщо обидві умови виконані — здійснює транзакцію.
DeFi-протоколи залишаються ласим шматочком для хакерів
Radiant Capital, як і багато інших децентралізованих фінансових протоколів, використовує систему мультипідпису для захисту своїх коштів. Проте хакерам вдалося обійти цю систему, отримавши доступ до достатньої кількості приватних ключів, щоб провести експлойт.
Наразі розслідується, як саме зловмисникам вдалося отримати контроль над приватними ключами. Одна з версій — це можлива компрометація фронтенду платформи, що дозволило хакерам підмінити законні інструменти управління.
Radiant Capital вже призупинив роботу своїх ринків та розпочав співпрацю з кількома компаніями з кібербезпеки для розслідування інциденту та відновлення втрачених коштів.
Атака на Radiant Capital вкотре демонструє ризики, пов'язані з використанням DeFi-протоколів. Незважаючи на високий рівень децентралізації, такі платформи залишаються вразливими до хакерських атак. Доведено, що більшість атак пов'язана зі зламами смартконтрактів. Тому розробники таких протоколів повинні приділяти особливу увагу безпеці коду. Перед запуском будь-якого децентралізованого фінансового проєкту необхідно проводити ретельний аудит смартконтрактів.
Схоже, що хак Radiant Capital у січні 2024 року, коли платформа втратила майже 1900 ETH, нічого її не навчив.
Читайте також: Хакер влаштував атракціон небаченої щедрості
Більше актуальних новин
Більше актуальних новин
