Radiant Capital, một giao thức cho vay chuỗi chéo, đã trở thành nạn nhân của một cuộc tấn công mạng lớn dẫn đến hơn 50 triệu đô la tiền của người dùng bị đánh cắp. Sự cố này làm nổi bật những điểm yếu tiềm ẩn trong ví đa chữ ký (multisigs), một cơ chế bảo mật thường được sử dụng trong không gian Web3.

Theo các chuyên gia bảo mật và chính Radiant Capital, những kẻ tấn công đã khai thác lỗ hổng trong các hợp đồng thông minh của giao thức trên Binance Chain (BSC) và blockchain Arbitrum. Việc khai thác này đã tận dụng chức năng "transferFrom", cho phép kẻ tấn công rút tiền của người dùng trên nhiều loại tiền điện tử khác nhau như USDC, WBNB và ETH. Ước tính cho thấy tổng thiệt hại có thể lên tới 58 triệu đô la.

🚨~Cảnh báo khai thác $58.000.000🚨Các hợp đồng Radiant Capital đã bị khai thác trên chuỗi BSC & ARB với chức năng 'transferFrom', cho phép rút tiền của người dùng, cụ thể là $USDC $WBNB $ETH và các loại tiền khác⚠️Thu hồi phê duyệt ngay lập tức👇0xd50cf00b6e600dd036ba8ef475677d816d6c4281 pic.twitter.com/oUHyshwEmL

— De.Fi Antivirus Web3 🛡️ (@De_FiSecurity) ngày 16 tháng 10 năm 2024

Radiant Capital đã xác nhận cuộc tấn công và đang hợp tác với các công ty bảo mật như SEAL911, Hypernative, ZeroShadow và Chainalysis để điều tra và thu hồi tiền. Các thị trường cho vay trên BSC và Arbitrum đã bị tạm dừng cho đến khi có thông báo mới, trong khi các hoạt động trên Base và Mainnet vẫn không bị ảnh hưởng.

Cuộc điều tra cho thấy những kẻ tấn công đã giành được quyền kiểm soát một số khóa riêng tư thuộc về những người ký trong ví đa chữ ký của Radiant Capital. Quyền truy cập bị xâm phạm này cho phép chúng thao túng các hợp đồng thông minh và đánh cắp tiền của người dùng. Sự cố này nhấn mạnh đến các lỗ hổng tiềm ẩn của đa chữ ký, thường được coi là một cách an toàn để quản lý ví tiền điện tử.

Sự thống trị của multisig trong bảo mật Web3 tạo ra một điểm lỗi duy nhất, khiến chúng dễ bị tấn công có chủ đích. Các chuyên gia bảo mật như Sreeram Kannan, người sáng lập EigenLayer, nhấn mạnh nhu cầu về các giải pháp bảo mật phi tập trung hơn. Ông lập luận rằng việc phụ thuộc vào multisig làm suy yếu các nguyên tắc cốt lõi về lòng tin và sự phi tập trung vốn có trong công nghệ blockchain.

Sự cố này đóng vai trò như một lời cảnh tỉnh để ngành công nghiệp Web3 khám phá các giải pháp bảo mật thay thế có khả năng bảo vệ tiền của người dùng một cách mạnh mẽ và phi tập trung hơn.