Хакер Radiant Capital взломал устройства разработчиков — вскрытие

Radiant Capital раскрыла результаты анализа атаки 16 октября, в результате которой было похищено более 50 миллионов долларов цифровых активов из сетей BNB Chain и Arbitrum. По данным Radiant, злоумышленник скомпрометировал устройства трех ее давних разработчиков.

Хакерам удалось скомпрометировать устройства с помощью «сложной инъекции вредоносного ПО», используемой для подписи вредоносных транзакций.

«Устройства были скомпрометированы таким образом, что интерфейс Safe{Wallet} (он же Gnosis Safe) отображал законные данные транзакций, в то время как вредоносные транзакции подписывались и выполнялись в фоновом режиме», — объяснила команда Radiant в своем блоге.

Radiant Capital — это платформа децентрализованного финансирования (DeFi), которая позволяет пользователям зарабатывать проценты и занимать активы в нескольких сетях блокчейн. Он работает как «денежный рынок омникачейн», позволяя совершать кросс-чейновые транзакции на рынках кредитования в различных сетях, таких как Ethereum, BNB и Arbitrum. Связанный: Radiant Capital прекращает кредитование после эксплойта

Атака

По данным компании, взлом произошел во время плановой корректировки выбросов с использованием нескольких подписей — процесса, который происходит «периодически для адаптации к рыночным условиям и уровням использования».

Мультиподпись является доминирующим средством защиты протоколов Web3. для авторизации транзакции требуется несколько подписей.

Как только транзакции были одобрены, скомпрометированные устройства перехватили эти одобрения и заменили их вредоносной транзакцией, которая затем была перенаправлена ​​на аппаратные кошельки для подписи. Как только Безопасный кошелек обнаружил проблему, он отобразил сообщение об ошибке, предложив пользователям повторить попытку подписи.

Этот тип сбоя может возникнуть из-за ряда факторов, таких как колебания цен на газ, несоответствие nonce, перегрузка сети и недостаточный лимит газа и другие.

«В результате такое поведение не вызвало немедленных подозрений», — заявили в команде. Этот процесс в конечном итоге позволил злоумышленникам собрать три действительные подписи.

Связанный: Исследователи взламывают роботов с поддержкой искусственного интеллекта, чтобы нанести вред «реальному миру»

Согласно Radiant, подписанные транзакции по-прежнему выглядели законными в пользовательском интерфейсе, что затрудняло обнаружение атаки. Нарушение также не было обнаружено во время ручной проверки пользовательского интерфейса Gnosis Safe и этапов моделирования стандартной транзакции с помощью Tenderly.

«Это было подтверждено внешними службами безопасности, включая SEAL911 и Hypernative», — отмечается в исследовании.

Помимо вывода активов на сумму $50 млн, хакеры воспользовались открытыми разрешениями для вывода средств со счетов пользователей. Устройства других разработчиков ядра Radiant также могли быть скомпрометированы. Протокол потребовал от пользователей отозвать разрешения во всех цепочках, чтобы смягчить дальнейшие инциденты:

«Всем пользователям платформы Radiant было настоятельно рекомендовано отозвать любые разрешения для ВСЕХ цепочек — Arbitrum, BSC, Ethereum и Base».

Согласно отчету компании по кибербезопасности Hacken, эксплойты контроля доступа стали причиной потери средств на сумму 316 миллионов долларов в третьем квартале. Это составляет почти 70% всех криптовалютных средств, украденных за квартал.