Radiant Capital hacker compromised developers’ devices — post-mortem

Cointelegraph · 2024-10-18T16:45:25.000Z

Radiant Capital has disclosed a post-mortem for the Oct. 16 attack that resulted in the theft of over $50 million in digital assets from the BNB Chain and Arbitrum networks. According to Radiant, the attacker compromised the devices of three of its long-standing developers. Hackers were able to compromise the devices through a “sophisticated malware injection” used to sign malicious transactions. “The devices were compromised in such a way that the front-end of Safe{Wallet} (f.k.a. Gnosis Safe) displayed legitimate transaction data while malicious transactions were signed and executed in the background,” the Radiant team explained in a blog post. Radiant Capital is a decentralized finance (DeFi) platform that allows users to earn interest and borrow assets across multiple blockchain networks. It operates like an “omnichain money market,” enabling cross-chain transactions on lending markets in different networks, such as Ethereum, BNB and Arbitrum. Related: Radiant Capital halts lending after exploit The attack According to the company, the breach occurred during a routine multisignature emissions adjustment, a process that takes place “periodically to adapt to market conditions and utilization rates.” Multisignature is the dominant means of securing Web3 protocols. it requires multiple signatures to authorize a transaction. Once the transactions were approved, the compromised devices intercepted these approvals and replaced them with a malicious transaction, which was then forwarded to the hardware wallets for signature. As soon as the Safe Wallet detected an issue, it displayed an error message, prompting the users to attempt the signature again. This type of failure can arise from a number of factors, such as gas price fluctuations, nonce mismatch, network congestion, and insufficient gas limit, among others. “As a result, this behavior did not raise immediate suspicion,” said the team. This process ultimately allowed the attackers to gather three valid signatures. Losses across various attack types in 2024. Source: Hacken As per Radiant, the signed transactions still appeared legitimate within the user interface, making the attack difficult to detect. The breach was also undetectable during the manual review of the Gnosis Safe UI and Tenderly simulation stages of the routine transaction. “This has been confirmed by external security teams, including SEAL911 and Hypernative,” noted the post-mortem. Along with draining assets worth $50 million, the hackers exploited open approvals to withdraw funds from users’ accounts. Other Radiant core developers may also have had their devices compromised. The protocol has requested users to revoke approvals on all chains to mitigate further incidents: “All users of the Radiant platform were strongly advised to revoke any approvals on ALL chains — Arbitrum, BSC, Ethereum & Base.” According to a report by cybersecurity firm Hacken, access control exploits were responsible for $316 million in lost funds during the third quarter. This accounts for nearly 70% of all crypto funds stolen during the quarter. Magazine: Fake Rabby Wallet scam linked to Dubai crypto CEO and many more victims

Radiant Capital zveřejnil posmrtnou zprávu o útoku z 16. října, který vedl ke krádeži více než 50 milionů dolarů v digitálních aktivech ze sítí BNB Chain a Arbitrum. Podle Radiantu útočník kompromitoval zařízení tří jejích dlouholetých vývojářů. 
Hackeři byli schopni kompromitovat zařízení pomocí „důmyslné injekce malwaru“, která se používala k podepisování škodlivých transakcí. 
„Zařízení byla kompromitována takovým způsobem, že front-end Safe{Wallet} (f.k.a. Gnosis Safe) zobrazoval legitimní transakční data, zatímco škodlivé transakce byly podepisovány a prováděny na pozadí,“ vysvětlil tým Radiant v příspěvku na blogu. 
Radiant Capital je platforma decentralizovaného financování (DeFi), která uživatelům umožňuje získávat úroky a půjčovat si aktiva prostřednictvím více blockchainových sítí. Funguje jako „omnichain peněžní trh“, který umožňuje meziřetězcové transakce na úvěrových trzích v různých sítích, jako je Ethereum, BNB a Arbitrum.

Související: Radiant Capital zastaví půjčování po zneužití
Útok 
Podle společnosti k porušení došlo během rutinní úpravy emisí s více podpisy, což je proces, který probíhá „pravidelně, aby se přizpůsobil tržním podmínkám a míře využití“.
Multisignature je dominantním prostředkem zabezpečení protokolů Web3. vyžaduje více podpisů k autorizaci transakce. 
Jakmile byly transakce schváleny, kompromitovaná zařízení tato schválení zachytila ​​a nahradila je škodlivou transakcí, která byla poté předána do hardwarových peněženek k podpisu. Jakmile Bezpečná peněženka zjistila problém, zobrazila chybovou zprávu a vyzvala uživatele, aby se pokusili o podpis znovu. 
Tento typ selhání může vzniknout z řady faktorů, jako jsou mimo jiné kolísání cen plynu, nesoulad, přetížení sítě a nedostatečný limit plynu.
"V důsledku toho toto chování nevyvolalo bezprostřední podezření," uvedl tým. Tento proces nakonec útočníkům umožnil získat tři platné podpisy.
Ztráty napříč různými typy útoků v roce 2024. Zdroj: Hacken
Podle Radiantu se podepsané transakce v uživatelském rozhraní stále jevily jako legitimní, takže bylo obtížné útok odhalit. Porušení bylo také nezjistitelné během manuální kontroly Gnosis Safe UI a fází simulace Tenderly rutinní transakce.
"To bylo potvrzeno externími bezpečnostními týmy, včetně SEAL911 a Hypernative," poznamenal pitva. 
Spolu s vyčerpáním aktiv v hodnotě 50 milionů dolarů hackeři využili otevřená schválení k výběru prostředků z účtů uživatelů. Ostatní vývojáři jádra Radiant mohli mít také kompromitovaná zařízení. Protokol požádal uživatele, aby odvolali schválení ve všech řetězcích, aby se zmírnily další incidenty: 
„Všem uživatelům platformy Radiant bylo důrazně doporučeno, aby odvolali všechna schválení VŠECH řetězců – Arbitrum, BSC, Ethereum & Base.“
Podle zprávy společnosti Hacken zabývající se kybernetickou bezpečností byly zneužití řízení přístupu odpovědné za ztrátu finančních prostředků ve výši 316 milionů dolarů během třetího čtvrtletí. To představuje téměř 70 % všech kryptofondů ukradených během čtvrtletí.
Časopis: Podvod s falešnou peněženkou Rabby spojený s generálním ředitelem kryptoměny v Dubaji a mnoha dalšími oběťmi

Prozkoumat více od tvůrce

Nejnovější zprávy