Протокол межсетевого кредитования Radiant Capital приостановил работу своих рынков кредитования и заимствования на Arbitrum после получения сообщений о взломе на сумму 4,5 миллиона долларов, затронувшем один из недавно созданных рынков монет USDC (USDC).
«Сегодня мы получили сообщение о проблеме с недавно созданным собственным рынком USDC на Arbitrum», — говорится в сообщении Radiant от 3 января на X (ранее Twitter), которое, как они добавили, было позже подтверждено разработчиками Radiant и более широким сообществом кибербезопасности..
Today, we received a report of an issue with the newly created native USDC market on Arbitrum. After validation by Radiant developers and the wider Web 3 security community, the Radiant DAO Council paused lending/borrowing markets on Arbitrum temporarily while this is…
— Radiant Capital (@RDNTCapital) January 3, 2024
Фирма Beosin, занимающаяся безопасностью блокчейн, описала этот эксплойт как атаку с использованием мгновенного кредита — злоумышленник воспользовался «проблемой округления» в кодовой базе, «которая привела к кумулятивной ошибке точности».
В конечном итоге это позволило «злоумышленнику получить прибыль за счет повторных операций депозита () и вывода ()», — написал он в сообщении на X от 3 января.
В более раннем сообщении PeckShield от 2 января также было указано, что проблема вызвана «известной проблемой округления» в текущей кодовой базе Compound/Aave.
«Основная причина не нова: по сути, он использует временное окно, когда новый рынок активируется на рынке кредитования (развитый от популярного Compound/Aave)», — добавили в нем.
Radiant Capital @RDNTCapital was under a flash loan attack with a loss of $4.5M.
Attacker: https://t.co/L7fXlF8VXPThe attacker manipulated the index parameter (which later served as a denominator) to become extremely large. The contract has a rounding issue in its… pic.twitter.com/8AdY7pjaKE
— Beosin Alert (@BeosinAlert) January 3, 2024
Согласно данным обозревателя блоков Arbiscanner, эксплуататору удалось выкачать из протокола в общей сложности 4,5 миллиона долларов в эфире (ETH).
С тех пор Radiant приостановила рынки кредитования и заимствования на Arbitrum и заверила инвесторов, что никакие дополнительные средства в настоящее время не подвергаются риску. Они пообещали провести подробное вскрытие и восстановить нормальную работу после завершения расследования.
«Напоминаем, что никакие действия не могут быть предприняты до тех пор, пока рынки не будут сняты с паузы на Arbitrum», — добавил Радиант.
Связанный: Взлом Orbit Bridge увеличил декабрьскую кражу криптовалюты почти до 100 миллионов долларов
Между тем, криптовалюта X уже наводнена фейковыми аккаунтами Radiant Capital, публикующими фишинговые ссылки, призванные помочь пользователям отозвать одобрения.
Radiant Capital — это децентрализованный протокол заимствования и кредитования с кросс-чейновой функциональностью, созданный с использованием технологии LayerZero. По данным DefiLlama, в настоящее время общая заблокированная стоимость протокола составляет около 315 миллионов долларов.
