借貸協議Radiant Capital年內二度遭駭,損失逾五千萬美元
借貸協議 Radiant Capital 於 16 日再次遇駭,損失超過 5,000 萬美元。這已經是 Radiant 繼 1 月後二度遭到攻擊,且與先前的攻擊無關,資安專家認為本次事件是攻擊者取得 Radiant 中 11 個多簽的 3 個私鑰,從而能夠升級協議智能合約並竊取資金。
(Radiant 遭駭 450 萬鎂,暫停 Arbitrum USDC 借貸市場)
Radiant Capital 私鑰遭竊
據資安機構 De.Fi 的說法,攻擊者利用 Radiant 協議中的 transferFrom 函數,在 BNB 鏈、Arbitrum 鏈上發動攻擊,耗盡用戶帳戶中包括 USDC、WBNB、ETH 等代幣。
廣告 - 內文未完請往下捲動
本次攻擊涉及到多簽錢包的控制,攻擊者透過竊取多名簽名者的私鑰,得以修改智能合約,實現資金轉移。
Fuzzland 安全研究主管 Tony Ke 另向 The Block 指出,以太坊、Base 上的 Radiant 似乎沒事,但用戶與合約交互時仍需謹慎。
🚨~$58,000,000 Exploit Alert🚨
Radiant Capital contracts were exploited on BSC & ARB chains with the ‘transferFrom’ function, which allowed to drain users’ funds, namely $USDC $WBNB $ETH and others
⚠️Revoke approvals ASAP👇
0xd50cf00b6e600dd036ba8ef475677d816d6c4281 pic.twitter.com/oUHyshwEmL— De.Fi Antivirus Web3 🛡️ (@De_FiSecurity) October 16, 2024
Radiant Capital 回應
Radiant Capital 隨後推文證實協議遭駭,並表示正在與多家資安公司合作,包括 SEAL911、Hypernative、ZeroShadow 與 Chainalysis 以調查事件並挽回損失,但沒有提供具體細節。
目前 Radiant 已暫停 BNB 鏈、Arbitrum 市場,並請用戶等待進一步通知。
攻擊者 (0x…98962) 最初在 Arbitrum 持有超過 3,200 萬美元資禪,BNB 鏈則持有 1,800 萬美元,最大持倉是 wstETH 及 weETH,且已開始大量轉移資金。
We are aware of an issue with the Radiant Lending markets on Binance Chain and Arbitrum. We are working with SEAL911, Hypernative, ZeroShadow & Chainalysis and will provide an update as soon as possible. Markets on Base and Mainnet are paused until further notice.
— Radiant Capital (@RDNTCapital) October 16, 2024
Radiant 在今年 1 月因智能合約漏洞遭到閃電貸攻擊,損失了約 1,900 ETH (時價約 450 萬美元),談及此事件的所有資安機構包括 Radiant 在內,皆呼籲用戶需盡快撤銷合約授權。
(授權撤銷網站Revoke推出「簽名面板」功能!可取消過往簽名,避免潛在釣魚風險)
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
