验尸显示隐形恶意软件注入导致5000万美元的辐射资本利用

Radiant Capital 攻击者利用恶意软件劫持开发者钱包并盗取超过 5000 万美元的资产。

根据 Radiant Capital 的事后报告，2024 年 10 月 16 日的攻击导致损失高达 5000 万美元，是“DeFi 有史以来最复杂的黑客攻击之一”。

攻击者通过复杂的恶意软件注入破坏了至少三名 Radiant 开发人员的硬件钱包，尽管据信可能还有更多设备成为目标。

该恶意软件操纵了 Safe{Wallet}（以前称为 Gnosis Safe）的前端界面，向开发人员显示合法交易数据，同时在后台执行恶意交易。

攻击是在例行多重签名排放调整过程中执行的，该过程定期进行以适应不断变化的市场条件。报告补充说，尽管通过 Tenderly 模拟和人工审查进行了多层验证，但在签名过程中未检测到任何异常。

攻击者利用了 Safe App 交易重新提交功能，这是由于 gas 价格波动或网络拥塞等问题而经常发生的现象。通过模仿这些常规错误，攻击者在不被注意的情况下收集了多个被破坏的签名，最终签署了“transferOwnership”函数，该函数将 Radiant 借贷池的控制权转移给了攻击者。

此次入侵影响了币安智能链 (BSC) 和 Arbitrum，攻击者使用这些签名来修改智能合约，特别是利用了 Web3 安全公司 De.Fi 之前报告的 transferFrom 函数。这使他们能够从已批准借贷池的用户那里抽走资产。

此外，该报告补充说，许多协议可能存在风险，并提出了几项预防措施。这些措施包括实施多层签名验证、使用独立设备验证交易数据、避免对关键交易进行盲签，以及设置错误触发的审计以在签名前发现潜在问题。

独立程序员 Daniel Von Fange 在 10 月 18 日的 X 帖子中指出，攻击者仍在窃取转移到受损钱包的所有资产，并建议用户迅速撤销对受影响合约的任何批准，以避免进一步损失。