Theo các chuyên gia bảo mật và dữ liệu blockchain, giao thức cho vay blockchain Radiant Capital đã mất hơn 50 triệu đô la vào thứ Tư do một cuộc tấn công mạng rõ ràng.
Các chuyên gia bảo mật cho biết kẻ tấn công đã giành được quyền kiểm soát các hợp đồng blockchain của Radiant Capital bằng cách lấy được ba "khóa riêng" kiểm soát giao thức.
"Các hợp đồng Radiant Capital đã bị khai thác trên chuỗi BSC & ARB bằng chức năng 'transferFrom'", công ty bảo mật Web3 De.Fi giải thích trên X. Công ty cho biết lỗ hổng này cho phép kẻ tấn công "rút tiền của người dùng, cụ thể là $USDC $WBNB $ETH và các loại tiền khác".
Radiant được điều khiển bởi một ví đa chữ ký hoặc "đa chữ ký" với 11 người ký, De.Fi cho biết trong một bài đăng riêng trên X. Kẻ tấn công dường như đã có thể lấy được "khóa riêng" của ba trong số những người ký này, đủ để nâng cấp các hợp đồng thông minh của nền tảng.
Nền tảng Radiant bao gồm một bộ công cụ cho phép người dùng vay, cho vay và chuyển đổi tiền điện tử trên các blockchain.
Đây là lần thứ hai trong năm nay giao thức này bị khai thác: Vào tháng 1, Radiant đã mất 4,5 triệu đô la trong một vụ tấn công không liên quan bắt nguồn từ lỗi trong hợp đồng thông minh của công ty.
Vào thời điểm báo chí đưa tin, vẫn chưa rõ khóa riêng tư đã bị phá hoại như thế nào trong cuộc tấn công hôm thứ Tư. Một số thành viên của nhóm bảo mật Ethereum trên Telegram, ứng dụng nhắn tin, suy đoán rằng cuộc tấn công có thể bắt nguồn từ giao diện người dùng bị xâm phạm – nghĩa là những người nắm giữ khóa Radiant hợp pháp có thể đã vô tình tương tác với một giao thức có chứa phần mềm độc hại.
Radiant thừa nhận lỗ hổng này trong bài đăng trên tài khoản X chính thức của mình, nhưng không cung cấp thông tin chi tiết.
"Chúng tôi nhận thấy có vấn đề với thị trường Radiant Lending trên Binance Chain và Arbitrum", Radiant cho biết. "Chúng tôi đang làm việc với SEAL911, Hypernative, ZeroShadow & Chainalysis và sẽ cung cấp bản cập nhật sớm nhất có thể. Thị trường trên Base và Mainnet sẽ tạm dừng cho đến khi có thông báo mới".
Radiant, được kiểm soát bởi một cộng đồng tự trị phi tập trung hay DAO, tuyên bố trên trang web của mình rằng sứ mệnh của họ là "thống nhất hàng tỷ thanh khoản phân mảnh trên khắp các thị trường tiền tệ Web3 dưới một chuỗi đa chuỗi an toàn, thân thiện với người dùng và hiệu quả về vốn".
Đây là một câu chuyện đang phát triển. Radiant Capital không trả lời ngay lập tức yêu cầu bình luận.
CẬP NHẬT (20:45 UTC, 16/10/24): Thêm thông tin cơ bản về Radiant và một vụ tấn công khác vào tháng 1 năm 2024.
