Атака по срочному кредиту Radiant Capital привела к убытку в 4,5 миллиона долларов

По данным компании по безопасности и аналитике блокчейнов PeckShield Inc, протокол межсетевого кредитования Radiant Capital подвергся взлому, в результате которого было потеряно 1900 ETH, что эквивалентно примерно 4,5 миллионам долларов.

Radiant Capital работает как децентрализованный протокол заимствования и кредитования с кросс-чейн-функциональностью, созданной с использованием технологии LayerZero. По последним данным DefiLlama, общая заблокированная стоимость протокола составляет около 315 миллионов долларов.

Radiant Capital расследует атаку с использованием срочного кредита

PeckShield объяснил инцидент с Radiant Capital тем, что хакер воспользовался временным окном всего через шесть секунд после активации нового рынка USDC в системе кредитования.

Злоумышленник воспользовался «проблемой округления» в кодовой базе, что привело к кумулятивным ошибкам точности. Эта лазейка позволяла им получать прибыль за счет повторных операций ввода и вывода средств, как указано в сообщении на X.

Сегодняшний взлом @RDNTCapital привел к потере 1,9 тыс. eth (~$4,5 млн).

Основная причина не нова: в основном он использует временное окно, когда новый рынок активируется на рынке кредитования (разветвленный от популярного Compound/Aave). Эксплойт также основан на известном округлении… https://t.co/XogWUVO3po pic.Twitter.com/x5X9ql8AGA

– PeckShield Inc. (@peckshield) 2 января 2024 г.

Radiant Capital, обращаясь к проблеме на X, упомянул, что Совет Radiant DAO временно приостановил рынки кредитования и заимствования на Arbitrum.

В протоколе признается, что инцидент является результатом «проблемы с недавно созданным собственным рынком USDC на Arbitrum». Он заверяет пользователей, что отчет о вскрытии будет опубликован после решения проблемы.

Сегодня мы получили сообщение о проблеме с недавно созданным собственным рынком USDC на Arbitrum. После проверки разработчиками Radiant и более широким сообществом безопасности Web 3 Совет Radiant DAO временно приостановил рынки кредитования/заимствования на Arbitrum, пока это…

– Radiant Capital (@RDNTCapital) 3 января 2024 г.

В сообщении Radiant Capital подчеркивалось, что текущие средства не подвергаются риску, и заверялось пользователей, что операции вернутся в нормальное русло после завершения расследования.

Однако на фоне этой ситуации фейковые аккаунты Radiant Capital на X процветают, распространяя фишинговые ссылки под видом помощи пользователям в отзыве одобрений, создавая дополнительные проблемы в устранении последствий нарушения безопасности.

Атаки с использованием срочных кредитов становятся безудержными

Атаки с использованием срочных кредитов продолжают создавать проблемы безопасности в различных экосистемах блокчейнов. 12 октября 2023 года DeFi-протокол Platypus Finance подвергся атаке с использованием срочного кредита, которая привела к потере более 2 миллионов долларов.

Последующее расследование инцидента, проведенное CertiK, показало, что два злоумышленника украли завернутый Avax (WAVAX) на сумму около 1,3 миллиона долларов и около 913 000 долларов США в виде Avax с ликвидным стейкингом (sAVAX). Преступники специально нацелились на пул ликвидности Avax-sAVAX.

11 октября 2023 года в сети BNB злоумышленник с помощью бота Miner Extractable Value (MEV) получил значительную арбитражную прибыль в размере 1,575 миллиона долларов США. Ранее, в июне того же года, протокол децентрализованного финансирования (DeFi) под названием Sturdy Finance подвергся множественным взломам, в результате чего было потеряно 442 ETH на сумму 800 000 долларов США.