Atak na promieniującą pożyczkę kapitałową prowadzi do straty w wysokości 4.5 miliona dolarów

Według firmy PeckShield Inc, zajmującej się bezpieczeństwem i analizą blockchain, protokół pożyczek międzyłańcuchowych Radiant Capital padł ofiarą włamania, w wyniku którego doszło do utraty 1,900 ETH, co stanowi równowartość około 4.5 miliona dolarów.

Radiant Capital działa jako zdecentralizowany protokół zaciągania i udzielania pożyczek, obejmujący funkcjonalność międzyłańcuchową zbudowaną przy użyciu technologii LayerZero. Według najnowszych dane od DefiLlama protokół ma zabezpieczoną łączną wartość około 315 milionów dolarów.

Radiant Capital bada atak na pożyczki błyskawiczne

PeckShield wyjaśnił incydent w Radiant Capital jako haker wykorzystujący okno czasowe zaledwie sześć sekund po aktywacji nowego rynku USDC w systemie pożyczkowym.

Osoba atakująca wykorzystała „problem z zaokrąglaniem” w bazie kodu, co doprowadziło do skumulowanych błędów precyzji. Ta luka umożliwiła im czerpanie zysków z powtarzających się operacji wpłat i wypłat, jak stwierdzono w poście na X.

Dzisiejszy hack dalej @RDNTCapital powoduje utratę 1.9 tys. eth (~4.5 mln dolarów).

Podstawowa przyczyna nie jest nowa: zasadniczo wykorzystuje okno czasowe, gdy na rynku pożyczkowym aktywowany jest nowy rynek (rozwidlony z popularnego Compound/Aave). Eksploatacja opiera się również na znanym zaokrągleniu… https://t.co/XogWUVO3po pic.twitter.com/x5X9ql8AGA

- PeckShield Inc. (@peckshield) 2 stycznia 2024 r.

Radiant Capital, odnosząc się do tej kwestii na X, wspomniał, że Rada Radiant DAO tymczasowo zawiesiła rynki kredytów i pożyczek na Arbitrum.

W protokole uznano, że incydent był wynikiem „problemu z nowo utworzonym natywnym rynkiem USDC na platformie Arbitrum”. Zapewnia użytkownikom, że raport z sekcji zwłok zostanie opublikowany po rozwiązaniu problemu.

Dzisiaj otrzymaliśmy zgłoszenie o problemie z nowo utworzonym natywnym rynkiem USDC na Arbitrum. Po zatwierdzeniu przez programistów Radiant i szerszą społeczność zajmującą się bezpieczeństwem Web 3, Rada Radiant DAO tymczasowo wstrzymała rynki pożyczek/pożyczek na Arbitrum na czas…

— Radiant Capital (@RDNTCapital) 3 stycznia 2024 r.

W poście Radiant Capital podkreślono, że obecne fundusze nie są zagrożone i zapewniono użytkowników, że działalność powróci do normalności po zakończeniu dochodzenia.

Jednak w tej sytuacji szerzy się liczba fałszywych kont Radiant Capital na platformie X, rozpowszechniających łącza phishingowe pod pozorem pomocy użytkownikom w cofaniu zatwierdzeń, co stwarza dodatkowe wyzwania w zarządzaniu następstwami naruszenia bezpieczeństwa.

Ataki na pożyczki błyskawiczne stają się powszechne

Ataki na pożyczki błyskawiczne w dalszym ciągu stwarzają wyzwania dla bezpieczeństwa w różnych ekosystemach blockchain. 12 października 2023 r. Protokół DeFi Platypus Finance cierpiał atak pożyczki błyskawicznej, który doprowadził do straty ponad 2 milionów dolarów.

Późniejsze dochodzenie CertiK w sprawie tego incydentu ujawniło, że dwie złośliwe jednostki ukradły opakowane AVAX (WAVAX) o wartości około 1.3 miliona dolarów i około 913,000 XNUMX dolarów w postaci AVAX postawionych w formie płynnej (sAVAX). Celem sprawców była w szczególności pula płynności AVAX-sAVAX.

W Sieci BNB w dniu 11 października 2023 r. o godz napastnik wykorzystując bota Miner Extractable Value (MEV), osiągnięto znaczny zysk z arbitrażu w wysokości 1.575 miliona dolarów. Wcześniej, w czerwcu tego samego roku, protokół zdecentralizowanych finansów (DeFi) o nazwie Sturdy Finance doświadczył wielu włamań, w wyniku których doszło do utraty 442 ETH o wartości 800,000 XNUMX dolarów.