- Гаманець з мультипідписом проєкту Radiant Capital було скомпрометовано.
- Зловмисники отримали доступ до коштів користувачів кредитних пулів проєкту.
- Орієнтовний збиток становить понад $50 млн.
- Один із проєктів у сфері кібербезпеки поділився фішинговим посиланням на прохання дати інструкцію з відкликання дозволів для контрактів.
Лендинговий протокол Radiant Capital було зломано за допомогою компрометації закритого ключа. Ймовірний збиток становить понад $50 млн.
Серед перших про це заявили експерти Cyvers:
🚨ALERT🚨
Our system has detected suspicious transactions involving @RDNTCapital on multiple chains.It appears that the platform has suffered a private key compromise, leading to an ongoing attack. A malicious actor gained control of multi-sig wallets and has already drained… pic.twitter.com/hP8hKit3jD
— 🚨 Cyvers Alerts 🚨 (@CyversAlerts) October 16, 2024
Згідно з їхніми даними, зловмисники отримали доступ до адрес щонайменше трьох з 11 власників ключів до гаманця з мультипідписом. Вони використовували його для зміни власника смартконтракту LendingPoolAddressesProvider.
Потім хакери змінили логіку кредитних пулів на контракт із так званим бекдором, що дало їм змогу отримати доступ до коштів користувачів за допомогою функції «transferFrom».
У команді Radiant Capital підтвердили факт підозрілої активності. Тут заявили, що вже працюють з ончейн-аналітиками та пообіцяли надати всі подробиці пізніше:
We are aware of an issue with the Radiant Lending markets on Binance Chain and Arbitrum. We are working with SEAL911, Hypernative, ZeroShadow & Chainalysis and will provide an update as soon as possible. Markets on Base and Mainnet are paused until further notice.
— Radiant Capital (@RDNTCapital) October 16, 2024
Орієнтовно, інцидент торкнувся пулів протоколу в мережах Binance Chain і Arbitrum. Команда проєкту заявила, що також призупинила роботу в Ethereum і Base.
Точний обсяг збитків невідомий. Експерти Cyvers назвали суму приблизно в $50 млн, De.Fi — $58 млн.
Як експерти, так і розробники протоколу порекомендували користувачам у найкоротші терміни відкликати дозволи для низки контрактів.
Please revoke access to the following contracts on https://t.co/JqPsJBBfNS.
0xF4B1486DD74D07706052A33d31d7c0AAFD0659E1
0x30798cFe2CCa822321ceed7e6085e633aAbC492F
0xd50Cf00b6e600Dd036Ba8eF475677d816d6c4281
0xA950974f64aA33f27F6C5e017eEE93BF7588ED07 https://t.co/x4l7J8UVeT— Radiant Capital (@RDNTCapital) October 16, 2024
Із цим пов’язана курйозна ситуація. Один із проєктів у сфері кібербезпеки — Ancilia — у публікації про злом поділився фішинговим посиланням, яке нібито гарантувало швидке відкликання дозволів.
Нотатку швидко видалили, але її скриншот встигли зберегти у спільноті:
For fuck's sake, if you are a 'trusted' security account, you need to absolutely make sure to never do this pic.twitter.com/2jrpN7P00L
— Spreek (@spreekaway) October 16, 2024
«Заради всього святого, якщо ви є “довіреним” обліковим записом у сфері безпеки, вам абсолютно точно не потрібно цього робити», — заявив один із користувачів.
Раніше ми висвітлювали звіт експертів PeckShield про інциденти, пов’язані з кібербезпекою у вересні 2024 року. Згідно з ним, загальний збиток від таких випадків склав $120 млн.
