Атака Radiant Capital Flash Loan Attack призвела до збитків у 4.5 мільйона доларів

За даними аналітичної компанії PeckShield Inc., протокол міжланцюгового кредитування Radiant Capital було зламано, що призвело до втрати 1,900 ETH, що еквівалентно приблизно 4.5 мільйонам доларів США.

Radiant Capital працює як децентралізований протокол запозичень і позик із функцією перехресного ланцюга, побудованою за технологією LayerZero. Станом на останній дані від DefiLlama, загальна вартість протоколу становить близько 315 мільйонів доларів США.

Radiant Capital розслідує атаку на флеш-кредит

PeckShield пояснив інцидент із Radiant Capital тим, що хакер скористався часовим вікном лише через шість секунд після активації нового ринку USDC у системі кредитування.

Зловмисник скористався «проблемою округлення» в кодовій базі, що призвело до кумулятивних помилок точності. Ця лазівка ​​дозволила їм отримувати прибуток через повторні операції внесення та зняття коштів, як зазначено в публікації на X.

Сьогоднішній хак @RDNTCapital призводить до втрати 1.9 тисячі eth (~4.5 мільйона доларів).

Основна причина не є новою: він в основному використовує часове вікно, коли новий ринок активується на ринку кредитування (відгалужений від популярного Compound/Aave). Експлуатація також спирається на відоме округлення... https://t.co/XogWUVO3po pic.twitter.com/x5X9ql8AGA

- PeckShield Inc. (@peckshield) Січень 2, 2024

Radiant Capital, розглядаючи проблему на X, зазначив, що Рада Radiant DAO тимчасово призупинила ринки кредитування та запозичення на Arbitrum.

У протоколі визнається, що інцидент став результатом «проблеми з нещодавно створеним рідним ринком USDC на Arbitrum». Він запевняє користувачів, що після усунення проблеми буде опубліковано посмертний звіт.

Сьогодні ми отримали повідомлення про проблему з нещодавно створеним рідним ринком USDC на Arbitrum. Після перевірки розробниками Radiant і ширшою спільнотою безпеки Web 3 Рада Radiant DAO тимчасово призупинила ринки позик/позик на Arbitrum, поки це...

— Radiant Capital (@RDNTCapital) Січень 3, 2024

Повідомлення Radiant Capital підкреслило, що поточні кошти не знаходяться під загрозою, і запевнило користувачів, що операції повернуться до нормального стану після завершення розслідування.

Однак у цій ситуації фальшиві облікові записи Radiant Capital на X були нестримними, поширюючи фішингові посилання під виглядом допомоги користувачам у відкликанні схвалень, створюючи додаткові проблеми в управлінні наслідками порушення безпеки.

Атаки на швидкі кредити стають нестримними

Атаки флеш-позики продовжують створювати проблеми з безпекою в різних екосистемах блокчейну. 12 жовтня 2023 року протокол DeFi Platypus Finance страждав атака на швидку позику, яка призвела до втрати понад 2 мільйонів доларів.

Подальше розслідування інциденту CertiK показало, що два зловмисники викрали упакований AVAX (WAVAX) на суму приблизно 1.3 мільйона доларів США та близько 913,000 XNUMX доларів США в рідинних ставках AVAX (sAVAX). Зловмисники спеціально націлювалися на пул ліквідності AVAX-sAVAX.

У Мережі БНБ 11 жовтня 2023 року ан нападаючий за допомогою бота Miner Extractable Value (MEV) отримав значний арбітражний прибуток у розмірі 1.575 мільйона доларів США. Раніше, у червні того ж року, протокол децентралізованих фінансів (DeFi) під назвою Sturdy Finance зазнав численних зломів, що призвело до втрати 442 ETH на суму 800,000 XNUMX доларів.