Radiant Capital, protokół pożyczkowy międzyłańcuchowy, padł ofiarą poważnego cyberataku, w wyniku którego skradziono ponad 50 milionów dolarów środków użytkowników. Ten incydent uwypukla potencjalne słabości portfeli multisignature (multisigs), powszechnie stosowanego mechanizmu bezpieczeństwa w przestrzeni Web3.

Według ekspertów ds. bezpieczeństwa i samego Radiant Capital, atakujący wykorzystali luki w zabezpieczeniach inteligentnych kontraktów protokołu na blockchainie Binance Chain (BSC) i Arbitrum. Exploit wykorzystał funkcję „transferFrom”, umożliwiając atakującym wykradanie środków użytkowników z różnych kryptowalut, takich jak USDC, WBNB i ETH. Szacunki sugerują, że całkowita strata może wynieść nawet 58 milionów dolarów.

🚨~$58,000,000 Alert dotyczący wykorzystania zasobów🚨Kontrakty Radiant Capital zostały wykorzystane w łańcuchach BSC i ARB z funkcją „transferFrom”, co pozwoliło na wykradzenie środków użytkowników, mianowicie $USDC $WBNB $ETH i innych⚠️Cofnij zatwierdzenia jak najszybciej👇0xd50cf00b6e600dd036ba8ef475677d816d6c4281 pic.twitter.com/oUHyshwEmL

— De.Fi Antivirus Web3 🛡️ (@De_FiSecurity) 16 października 2024 r.

Radiant Capital potwierdził atak i współpracuje z firmami ochroniarskimi, takimi jak SEAL911, Hypernative, ZeroShadow i Chainalysis, aby zbadać sprawę i odzyskać fundusze. Rynki pożyczkowe na BSC i Arbitrum zostały wstrzymane do odwołania, podczas gdy operacje na Base i Mainnet pozostają nienaruszone.

Śledztwo sugeruje, że atakujący przejęli kontrolę nad kilkoma kluczami prywatnymi należącymi do sygnatariuszy w portfelu multisig Radiant Capital. Ten zagrożony dostęp pozwolił im manipulować inteligentnymi kontraktami i kraść fundusze użytkowników. Incydent podkreśla potencjalne luki w zabezpieczeniach multisigów, które są często postrzegane jako bezpieczny sposób zarządzania portfelami kryptowalut.

Dominacja multisigów w zabezpieczeniach Web3 tworzy pojedynczy punkt awarii, czyniąc je podatnymi na ukierunkowane ataki. Eksperci ds. bezpieczeństwa, tacy jak Sreeram Kannan, założyciel EigenLayer, podkreślają potrzebę bardziej zdecentralizowanych rozwiązań bezpieczeństwa. Twierdzi, że poleganie na multisigach podważa podstawowe zasady zaufania i decentralizacji inherentne w technologii blockchain.

Incydent ten stanowi sygnał ostrzegawczy dla branży Web3, nakazujący jej poszukiwanie alternatywnych rozwiązań bezpieczeństwa, które zapewnią skuteczniejsze i bardziej zdecentralizowane podejście do ochrony środków użytkowników.