Radiant Capital опубликовала подробный анализ эксплойта, произошедшего 16 октября, который привел к потере более 50 миллионов долларов средств пользователей.

Согласно результатам вскрытия, злоумышленник использовал современное вредоносное ПО для отравления транзакций, что позволило им похитить средства во время обычного процесса мультиподписи.

Методология атаки, использующая распространенные ошибки

Все началось с того, что хакер взломал жесткие кошельки, принадлежащие трем основным разработчикам протокола, и внедрил в них вредоносное ПО, имитирующее законные транзакции. Пока разработчики подписывали то, что, по их мнению, было обычными корректировками выбросов, вредоносное ПО выполняло несанкционированные транзакции в фоновом режиме.

Radiant Capital подтвердила, что в этом судьбоносном процессе ее вкладчики в точности следовали стандартным операционным процедурам. Они моделировали каждую транзакцию на предмет точности на полнофункциональной инфраструктурной платформе Web3 Tenderly, а также подвергали их индивидуальной проверке на каждом этапе подписи.

Несмотря на эти многочисленные уровни проверки, внешние проверки не выявили видимых признаков аномалий, даже когда вредоносное ПО проникло в системы протокола.

В оценке компании также выделялось то, как злоумышленник воспользовался типичными сбоями транзакций для осуществления взлома. Они использовали повторную отправку кошелька, часто вызванную колебаниями цен на бензин или перегрузкой сети, в качестве прикрытия для сбора закрытых ключей, сохраняя при этом видимость нормальности.

Затем злоумышленник получил контроль над некоторыми смарт-контрактами и в конечном итоге перекачал криптовалюты на миллионы долларов, включая USDC, завернутый BNB (wBNB) и Ethereum (ETH).

Фактическая сумма украденного варьируется от 50 до 58 миллионов долларов, в зависимости от источника, сообщающего об этом. Однако платформа децентрализованного финансирования (DeFi) в своем отчете об инциденте указала меньшую цифру.

ФБР призвано помочь вернуть украденные средства

В отчете межсетевой кредитор заявил, что тесно сотрудничает с правоохранительными органами США, включая ФБР, а также с фирмами по кибербезопасности SEAL911 и ZeroShadow для отслеживания украденной криптовалюты.

Кроме того, в качестве меры предосторожности он посоветовал пользователям отозвать разрешения во всех цепочках, включая Arbitrum, BSC и Base. Этот шаг является ответом на то, что эксплуататор использует открытые разрешения для вывода средств со счетов.

Radiant Capital также создала новые холодные кошельки и скорректировала пороговые значения подписи для повышения безопасности платформы. Аналогичным образом, он ввел обязательную 72-часовую отсрочку для всех обновлений контрактов и передачи прав собственности. Он предназначен для того, чтобы дать сообществу достаточно времени для проверки транзакций перед их окончательным исполнением.

Однако, учитывая уровень сложности взлома, фирма признала, что даже эти меры, возможно, не предотвратили атаку.

Количество эксплойтов DeFi растет тревожными темпами, и пара недавних опросов рисует унылую картину. По данным PeckShield, в сентябре произошло более 20 взломов, что привело к убыткам на сумму более 120 миллионов долларов.

Кроме того, другая фирма по сетевой безопасности, Hacken, объявила, что более 440 миллионов долларов, украденные с криптоплатформ в третьем квартале 2024 года, потеряны навсегда.

Источник