借贷协议 Radiant Capital 于 16 日再次遇骇，损失超过 5,000 万美元。这已经是 Radiant 继 1 月后二度遭到攻击，且与先前的攻击无关，资安专家认为本次事件是攻击者取得 Radiant 中 11 个多签的 3 个私钥，从而能够升级协议智能合约并窃取资金。

(Radiant 遭骇 450 万镁，暂停 Arbitrum USDC 借贷市场)

Radiant Capital 私钥遭窃

据资安机构 De.Fi 的说法，攻击者利用 Radiant 协议中的 transferFrom 函数，在 BNB 链、Arbitrum 链上发动攻击，耗尽用户帐户中包括 USDC、WBNB、ETH 等代币。

本次攻击涉及到多签钱包的控制，攻击者透过窃取多名签名者的私钥，得以修改智能合约，实现资金转移。

Fuzzland 安全研究主管 Tony Ke 另向 The Block 指出，以太坊、Base 上的 Radiant 似乎没事，但用户与合约交互时仍需谨慎。

~$58,000,000 Exploit Alert

Radiant Capital contracts were exploited on BSC & ARB chains with the ‘transferFrom’ function, which allowed to drain users’ funds, namely $USDC $WBNB $ETH and others

Revoke approvals ASAP 0xd50cf00b6e600dd036ba8ef475677d816d6c4281 pic.twitter.com/oUHyshwEmL

— De.Fi Antivirus Web3 (@De_FiSecurity) October 16, 2024

Radiant Capital 回应

Radiant Capital 随后推文证实协议遭骇，并表示正在与多家资安公司合作，包括 SEAL911、Hypernative、ZeroShadow 与 Chainalysis 以调查事件并挽回损失，但没有提供具体细节。

目前 Radiant 已暂停 BNB 链、Arbitrum 市场，并请用户等待进一步通知。

攻击者 (0x…98962) 最初在 Arbitrum 持有超过 3,200 万美元资禅，BNB 链则持有 1,800 万美元，最大持仓是 wstETH 及 weETH，且已开始大量转移资金。

We are aware of an issue with the Radiant Lending markets on Binance Chain and Arbitrum. We are working with SEAL911, Hypernative, ZeroShadow & Chainalysis and will provide an update as soon as possible. Markets on Base and Mainnet are paused until further notice.

— Radiant Capital (@RDNTCapital) October 16, 2024

Radiant 在今年 1 月因智能合约漏洞遭到闪电贷攻击，损失了约 1,900 ETH (时价约 450 万美元)，谈及此事件的所有资安机构包括 Radiant 在内，皆呼吁用户需尽快撤销合约授权。

(授权撤销网站Revoke推出「签名面板」功能！可取消过往签名，避免潜在钓鱼风险)

这篇文章 借贷协议Radiant Capital年内二度遭骇，损失逾五千万美元 最早出现于 链新闻 ABMedia。