Стало известно как взломали Radiant Capital Exploit на $50 млн
Вредоносная программа манипулировала интерфейсом Safe{Wallet} (ранее известного как Gnosis Safe), отображая легитимные данные о транзакциях разработчикам, в то время как в фоновом режиме выполнялись мошеннические транзакции и собирались подписи разработчиков
Атакующие из Radiant Capital использовали вредоносное ПО для захвата кошельков разработчиков и украли более $50 миллионов активов.
Согласно отчету Radiant Capital, атака 16 октября 2024 года, которая привела к потерям свыше $50 миллионов, была "одной из самых изощренных атак, когда-либо зарегистрированных в DeFi".
Атакующие взломали аппаратные кошельки как минимум трех разработчиков Radiant через сложную вредоносную программу, хотя предполагается, что было атаковано больше устройств.
Вредоносная программа манипулировала интерфейсом Safe{Wallet} (ранее известного как Gnosis Safe), отображая легитимные данные о транзакциях разработчикам, в то время как в фоновом режиме выполнялись мошеннические транзакции.
Атака была проведена во время рутинного процесса многоподписной эмиссии корректировок, который периодически проводится для адаптации к изменяющимся рыночным условиям. Несмотря на несколько уровней проверки через симуляции Tenderly и ручные обзоры, никаких аномалий обнаружено не было во время процесса подписания, добавил отчет.
Атакующие воспользовались возможностью повторной отправки транзакций Safe App, что является обычным явлением из-за проблем, таких как колебания цен газа или сетевая перегрузка. Используя эти рутинные ошибки, злоумышленники собрали несколько подписанных подписей незамеченными, в конечном итоге подписав функцию "transferOwnership", которая передала контроль над кредитными пулами Radiant злоумышленникам.
Преступление затронуло Binance Smart Chain (BSC) и Arbitrum, с использованием этих подписей для изменения смарт-контрактов, особенно эксплуатируя функцию "transferFrom" как ранее сообщалось Web3 фирмой безопасности De.Fi, что позволило им опустошить активы пользователей, которые предоставили разрешение на кредитные пулы.
Далее в отчете добавлено, что многие протоколы могут быть подвержены риску и предложены различные превентивные меры. Это включает в себя внедрение многоуровневой проверки подписей, использование отдельного устройства для проверки данных о транзакциях, избегание слепой подписи для критических транзакций и настройка аудитов, вызванных ошибками, для выявления потенциальных проблем до подписания.
В сообщении от 18 октября X независимый программист Даниэль фон Фанг отметил, что злоумышленники продолжают опустошать любые активы, переводимые на скомпрометированные кошельки, и посоветовал пользователям быстро отозвать любое разрешение, которое они предоставили затронутым контрактам, чтобы избежать дальнейших потерь.
