Ataque de empréstimo instantâneo da Radiant Capital leva a perda de US$ 4.5 milhões

O protocolo de empréstimo entre cadeias Radiant Capital sofreu um hack que resultou na perda de 1,900 ETH, equivalente a aproximadamente US$ 4.5 milhões, de acordo com a empresa de segurança e análise de blockchain PeckShield Inc.

Radiant Capital opera como um protocolo descentralizado de empréstimo e empréstimo com funcionalidade cross-chain construída usando a tecnologia LayerZero. A partir do último dados, da DefiLlama, o protocolo tem cerca de US$ 315 milhões em valor total bloqueado.

Radiant Capital investiga ataque de empréstimo instantâneo

PeckShield explicou o incidente da Radiant Capital como o hacker explorando uma janela de tempo apenas seis segundos após a ativação de um novo mercado de USDC no sistema de empréstimo.

O invasor aproveitou um “problema de arredondamento” na base de código, levando a erros cumulativos de precisão. Esta lacuna permitiu-lhes lucrar através de repetidas operações de depósito e retirada, conforme afirmado em uma postagem no X.

Hack de hoje @RDNTCapital resulta na perda de 1.9 mil eth (~$4.5 milhões).

A causa raiz não é nova: basicamente explora uma janela de tempo quando um novo mercado é ativado em um mercado de empréstimos (bifurcado do popular Compound/Aave). A exploração também depende de um arredondamento conhecido… https://t.co/XogWUVO3po pic.twitter.com/x5X9ql8AGA

- PeckShield Inc. (@peckshield) 2 de janeiro de 2024

A Radiant Capital, abordando a questão em X, mencionou que o Conselho Radiant DAO suspendeu temporariamente os mercados de empréstimos e empréstimos no Arbitrum.

O protocolo reconheceu que o incidente é resultado de um “problema com o recém-criado mercado nativo de USDC no Arbitrum”. Ele garante aos usuários que um relatório post-mortem será publicado assim que o problema for resolvido.

Hoje, recebemos um relatório sobre um problema com o recém-criado mercado nativo de USDC na Arbitrum. Após validação pelos desenvolvedores do Radiant e pela comunidade de segurança da Web 3 em geral, o Conselho Radiant DAO pausou temporariamente os mercados de empréstimos/empréstimos no Arbitrum enquanto isso…

— Capital Radiante (@RDNTCapital) 3 de janeiro de 2024

A postagem da Radiant Capital enfatizou que os fundos atuais não estavam em risco e garantiu aos usuários que as operações voltariam à normalidade após a conclusão da investigação.

No entanto, em meio a esta situação, contas falsas da Radiant Capital no X têm se espalhado, disseminando links de phishing sob o pretexto de ajudar os usuários a revogar aprovações, criando desafios adicionais no gerenciamento das consequências da violação de segurança.

Ataques instantâneos a empréstimos tornam-se desenfreados

Os ataques rápidos a empréstimos continuam a representar desafios de segurança em vários ecossistemas de blockchain. Em 12 de outubro de 2023, Protocolo DeFi Platypus Finance sofreu um ataque relâmpago de empréstimo que levou a uma perda de mais de US$ 2 milhões.

A investigação subsequente da CertiK sobre o incidente revelou que duas entidades maliciosas roubaram aproximadamente US$ 1.3 milhão em AVAX embrulhado (WAVAX) e cerca de US$ 913,000 em AVAX com aposta líquida (sAVAX). Os perpetradores visaram especificamente o pool de liquidez AVAX-sAVAX.

Na Rede BNB, em 11 de outubro de 2023, um atacante utilizando um bot Miner Extractable Value (MEV) executou um lucro de arbitragem significativo no valor de US$ 1.575 milhão. Anteriormente, em junho do mesmo ano, um protocolo de finanças descentralizadas (DeFi) chamado Sturdy Finance sofreu vários hacks, resultando na perda de 442 ETH no valor de US$ 800,000.