Radiant Capital $58 млн зламав дорогий «урок» для DeFi

Radiant Capital відновив свої ринки кредитування Ethereum після хакерської атаки, яка призвела до втрати цифрових активів на 58 мільйонів доларів.

1 листопада в протоколі кредитування було оголошено про вдосконалення його структури. Це включає в себе передачу права власності в контракт таймлока. Команда Radiant Capital заявила, що це передбачає обов’язковий 72-годинний період очікування для будь-яких коригувань, стверджуючи, що це зміцнює безпеку Radiant.

Команда також запровадила екстрену роль адміністратора за допомогою структури мультипідпису. Цю роль покладено на паузу та відновлення ринків протоколу кредитування, якщо це необхідно.

Крім того, його децентралізована автономна організація (DAO) також підвищила безпеку мультипідпису, скоротивши кількість обов’язкових підписувачів до семи та встановивши порогове значення чотирьох із семи підписів.

Мультипідписні гаманці підвищують безпеку, вимагаючи кількох підписів для виконання або обробки транзакцій у криптовалюті. Це усуває ризик єдиної точки відмови, пов’язаної з наявністю лише одного закритого ключа.

Дорогий «урок» для DeFi

Покращення безпеки відбулося після експлойту, який призвів до втрати понад 50 мільйонів доларів цифрових активів.16 жовтня Radiant Capital зупинив свої ринки кредитування після порушення кібербезпеки на BNB Chain і Arbitrum.

Зловмисник отримав контроль над приватними ключами та смарт-контрактами кількох підписувачів. Це дозволило хакерам витягнути з протоколу активи на суму понад 50 мільйонів доларів.

18 жовтня Radiant Capital підтвердив у посмертному аналізі, що зловмисники скомпрометували пристрої принаймні трьох основних розробників, впровадивши шкідливе програмне забезпечення.

У Radiant Capital заявили, що пристрої були скомпрометовані таким чином, що зовнішня частина їхніх гаманців відображала дані легітимних транзакцій, тоді як зловмисні транзакції підписувалися та виконувалися у фоновому режимі.

У дописі X фахівець із безпеки Патрік Коллінз описав інцидент як «урок на 50 мільйонів доларів», який потрібно запам’ятати децентралізованому фінансовому простору (DeFi). Коллінз сказав, що під час перевірки транзакцій за допомогою апаратних гаманців існує прогалина в освіті чи інструментах.

Тим часом хакер Radiant Capital вже перевів близько 52 мільйонів доларів з викрадених коштів.24 жовтня компанія з безпеки блокчейнів PeckShield заявила, що експлуататор уже перемістив «майже всі» вкрадені кошти.

За темою: фірма з безпеки криптовалюти помилково ділиться посиланням на дрейнер, щоб «допомогти» жертвам злому Radiant

Проблеми з підписанням гаманця в криптовалюті

Інциденти з фішингом у криптовалюті вже призвели до втрати мільйонів цифрових активів.21 серпня під час фішингової атаки на криптовалюту було вичерпано 55 мільйонів доларів у стейблкойнах після того, як кит помилково підписав транзакцію, яка передала право власності на кошти зловмисникам.

Через такі інциденти апаратний гаманець Ledger вважає, що необхідно сприяти чіткому підпису в криптовалютному просторі. Раніше генеральний директор Ledger Паскаль Готьє в інтерв’ю Cointelegraph сказав, що індустрія повинна відмовитися від сліпого підпису та що вони співпрацюють з кількома організаціями, щоб навчати спільноту чіткою ініціативою підписання.