Radiant Capital, một giao thức cho vay trên blockchain, vừa mất hơn 50 triệu USD trong một cuộc tấn công mạng xảy ra hôm thứ Tư, theo thông tin từ các chuyên gia bảo mật và dữ liệu on-chain.

?~$58,000,000 Exploit Alert?

Radiant Capital contracts were exploited on BSC & ARB chains with the 'transferFrom' function, which allowed to drain users' funds, namely $USDC $WBNB $ETH and others

⚠️Revoke approvals ASAP?
0xd50cf00b6e600dd036ba8ef475677d816d6c4281 pic.twitter.com/oUHyshwEmL

— De.Fi Antivirus Web3 ?️ (@De_FiSecurity) October 16, 2024

 Kẻ tấn công đã giành quyền kiểm soát các hợp đồng thông minh của Radiant Capital bằng cách lấy được ba trong số các "khóa riêng" điều khiển giao thức, các chuyên gia bảo mật cho biết. De.Fi, một công ty bảo mật Web3, đã giải thích trên X:

"Các hợp đồng của Radiant Capital đã bị khai thác trên chuỗi BSC & ARB với hàm 'transferFrom'".

Cuộc tấn công này cho phép hacker "rút cạn tiền của người dùng, cụ thể là $USDC, $WBNB, $ETH và các token khác," công ty cho biết. Radiant được kiểm soát bởi một ví đa chữ ký (multisig) với 11 người ký, De.Fi chia sẻ trong một bài đăng X khác. Kẻ tấn công dường như đã lấy được ba trong số các "khóa riêng" của những người ký này, đủ để nâng cấp các hợp đồng thông minh của nền tảng.

Nền tảng Radiant bao gồm một bộ công cụ cho phép người dùng vay, cho vay và chuyển tiền mã hóa qua các blockchain khác nhau. Đây là lần thứ hai trong năm nay giao thức này bị nhắm mục tiêu trong một cuộc tấn công: Vào tháng 1, Radiant đã mất 4,5 triệu USD trong một vụ hack không liên quan do lỗi trong các hợp đồng thông minh của nó.

Tại thời điểm công bố, vẫn chưa rõ làm thế nào các khóa riêng bị xâm phạm trong cuộc tấn công hôm thứ Tư. Một số thành viên của nhóm bảo mật Ethereum trên Telegram đã suy đoán rằng cuộc tấn công có thể xuất phát từ giao diện người dùng bị xâm phạm - nghĩa là những người nắm giữ khóa Radiant hợp pháp có thể đã vô tình tương tác với một giao thức chứa mã độc.

Radiant đã thừa nhận vụ tấn công trong một bài đăng trên tài khoản X chính thức của mình, nhưng không cung cấp chi tiết cụ thể.

"Chúng tôi đã nhận thức được một vấn đề với thị trường cho vay Radiant trên Binance Chain và Arbitrum. Chúng tôi đang làm việc với SEAL911, Hypernative, ZeroShadow & Chainalysis và sẽ cung cấp cập nhật càng sớm càng tốt. Các thị trường trên Base và Mainnet đã bị tạm dừng cho đến khi có thông báo mới."

We are aware of an issue with the Radiant Lending markets on Binance Chain and Arbitrum. We are working with SEAL911, Hypernative, ZeroShadow & Chainalysis and will provide an update as soon as possible. Markets on Base and Mainnet are paused until further notice.

— Radiant Capital (@RDNTCapital) October 16, 2024

 Radiant, được kiểm soát bởi một tổ chức tự trị phi tập trung (DAO), tuyên bố trên trang web của mình rằng sứ mệnh của họ là "thống nhất hàng tỷ đô la thanh khoản phân tán trên các thị trường tiền tệ Web3 dưới một nền tảng omnichain an toàn, thân thiện với người dùng và hiệu quả về vốn."