Radiant Capital bị tấn công 50 triệu đô la trên BNB Chain và Arbitrum trong cuộc tấn công lớn thứ hai

Radiant Capital, một giao thức cho vay phi tập trung, đã phải chịu một cuộc tấn công mạng lớn, mất hơn 50 triệu đô la tài sản kỹ thuật số. Cuộc tấn công xảy ra trên BNB Chain của Binance và mạng Arbitrum lớp 2 của Ethereum, đánh dấu lần khai thác đáng kể thứ hai mà nền tảng này phải đối mặt trong năm nay, làm dấy lên thêm lo ngại về tính bảo mật của các nền tảng tài chính phi tập trung (DeFi).

Sự việc diễn ra

Cuộc tấn công lần đầu tiên được công ty bảo mật blockchain Ancilia Inc. báo cáo vào thứ Tư, công ty này đã đánh dấu hoạt động đáng ngờ liên quan đến hợp đồng thông minh của Radiant Capital trên BNB Chain. Các báo cáo ban đầu cho thấy khoảng 16 triệu đô la đã bị rút khỏi nền tảng trên BNB. Ngay sau đó, tài sản cũng bị rút khỏi nhóm thanh khoản của Radiant trên Arbitrum. Một công ty bảo mật khác, Hacken, sau đó đã xác nhận rằng tổng tài sản bị đánh cắp, bao gồm USDT, USDC và ARB, lên tới gần 50 triệu đô la.

Radiant Capital đã thừa nhận vấn đề này trên X (trước đây là Twitter), nêu rõ, "Chúng tôi nhận thấy có vấn đề với thị trường Radiant Lending trên Binance Chain và Arbitrum" và đảm bảo với người dùng rằng họ đang làm việc với các nhóm bảo mật blockchain SEAL911, Hypernative, ZeroShadow và Chainalysis để điều tra vi phạm.

Cuộc tấn công đã diễn ra như thế nào

Theo công ty bảo mật Web3 De.Fi, những kẻ tấn công đã khai thác được các hợp đồng thông minh của Radiant thông qua chức năng 'transferFrom', cho phép chúng rút tiền của người dùng. Radiant hoạt động bằng hệ thống ví đa chữ ký (multisig), yêu cầu 11 người ký để ủy quyền cho bất kỳ nâng cấp giao thức nào. Những kẻ tấn công bằng cách nào đó đã lấy được ba trong số các khóa riêng này, giúp chúng có đủ quyền kiểm soát để sửa đổi các hợp đồng thông minh và thực hiện cuộc tấn công.

Trong khi phương pháp chính xác mà khóa riêng bị xâm phạm vẫn chưa rõ ràng, một số chuyên gia trong cộng đồng bảo mật Ethereum đã suy đoán rằng nó có thể là kết quả của một cuộc tấn công front-end. Loại khai thác này có thể đã lừa những người giữ khóa hợp pháp tương tác với một giao diện độc hại, do đó cấp cho kẻ tấn công quyền truy cập vào giao thức.

Phản ứng của Radiant bao gồm tạm dừng các thị trường của mình trên Ethereum và mạng lớp 2 Base trong khi kêu gọi người dùng thu hồi quyền hợp đồng thông minh của họ như một biện pháp an toàn. Nền tảng này cũng hướng dẫn người dùng đến dịch vụ Revoke.Cash để kiểm tra xem họ có gặp rủi ro hay không.

Không phải là sự cố đầu tiên

Lỗ hổng mới nhất này không phải là lần đầu tiên Radiant Capital bị nhắm mục tiêu. Vào đầu tháng 4.5, giao thức này đã mất XNUMX triệu đô la trong một cuộc tấn công dựa trên khoản vay flash riêng biệt vào Arbitrum do lỗi trong hợp đồng thông minh của nó. Các vi phạm liên tục nhấn mạnh các lỗ hổng trong hệ thống DeFi, nơi mà ngay cả các giao thức được thiết kế để tiết kiệm vốn và an toàn cũng thường xuyên bị tin tặc tinh vi nhắm mục tiêu.

Tác động rộng hơn

Radiant Capital hoạt động như một tổ chức tự trị phi tập trung (DAO) và mô tả sứ mệnh của mình là hợp nhất thanh khoản phân mảnh trên nhiều thị trường tiền tệ khác nhau của Web3 thành một nền tảng chuỗi liền mạch, đa chuỗi. Bất chấp các mục tiêu đầy tham vọng của mình, các sự cố bảo mật lặp đi lặp lại có thể làm suy yếu niềm tin vào Radiant và các dự án DeFi tương tự. Nhu cầu về các khuôn khổ bảo mật mạnh mẽ hơn là điều hiển nhiên khi tin tặc liên tục khai thác các điểm yếu trong các hệ thống phi tập trung.

Vi phạm này, dẫn đến tổn thất tài chính đáng kể như vậy, nêu bật những rủi ro đối với người dùng tham gia vào nền tảng DeFi. Mặc dù Radiant và nhóm của họ đang nỗ lực giải quyết vấn đề, nhưng toàn bộ thiệt hại - cả về tài chính và danh tiếng - vẫn đang diễn ra.

Kết luận

Vụ khai thác 50 triệu đô la trên Radiant Capital đã một lần nữa làm rung chuyển cộng đồng DeFi, làm dấy lên mối lo ngại nghiêm trọng về tính bảo mật của các giao thức blockchain và việc bảo vệ tiền của người dùng. Với hai vụ hack lớn trong vòng chưa đầy một năm, Radiant phải đối mặt với một cuộc chiến khó khăn để khôi phục lại lòng tin. Sự cố này đóng vai trò như một lời nhắc nhở về nhu cầu cấp thiết phải luôn cảnh giác và cải thiện các cơ chế bảo mật trong thế giới tài chính phi tập trung đang phát triển nhanh chóng.

Khám phá những dự án đầy hứa hẹn...

Các dự án đầy hứa hẹn...

Câu chuyện này vẫn đang tiếp diễn và Radiant Capital vẫn chưa đưa ra lời giải thích chi tiết về cách những kẻ tấn công có được quyền truy cập vào khóa riêng tư. Cho đến khi cuộc điều tra kết thúc, người dùng được khuyến cáo nên cảnh giác và thực hiện các biện pháp thích hợp để bảo vệ tài sản của mình.