" Radiant Capital опубликовала результаты расследования атаки 16 октября, которая привела к краже более 50 миллионов долларов в цифровых активах из сетей BNB Chain и Arbitrum. По данным Radiant, злоумышленник скомпрометировал устройства трех давних разработчиков.
Хакеры смогли скомпрометировать устройства с помощью «сложной инъекции вредоносного ПО», используемой для подписи вредоносных транзакций.
«Устройства были скомпрометированы таким образом, что интерфейс Safe{Wallet} (ранее известный как Gnosis Safe) отображал данные о легитимных транзакциях, в то время как вредоносные транзакции подписывались и выполнялись в фоновом режиме», — объяснила команда Radiant в сообщении в блоге.
Radiant Capital — это децентрализованная финансовая (DeFi) платформа, которая позволяет пользователям получать проценты и занимать активы в нескольких сетях блокчейнов. Он работает как «мультичейновый денежный рынок», позволяя осуществлять кросс-чейновые транзакции на кредитных рынках в разных сетях, таких как Ethereum, BNB и Arbitrum.
Атака
По данным компании, инцидент произошл во время обычной корректировки эмиссии мультиподписей, процесса, который происходит «периодически для адаптации к рыночным условиям и коэффициентам использования».
Мультиподпись является доминирующим средством защиты протоколов Web3. Для авторизации транзакции требуется несколько подписей.
После одобрения транзакций взломанные устройства перехватывали эти одобрения и заменяли их вредоносной транзакцией, которая затем направлялась в аппаратные кошельки для подписи. Как только Safe Wallet обнаруживал проблему, он отображал сообщение об ошибке, предлагая пользователям повторить попытку подписи.
Этот тип сбоя может возникнуть из-за ряда факторов, таких как колебания цен на газ, несоответствие одноразовых номеров, перегрузка сети и недостаточный лимит газа и т.д.
«В результате такое поведение не вызвало немедленного подозрения», — заявила команда.
Этот процесс в конечном итоге позволил злоумышленникам собрать три действительные подписи.
Потери от различных типов атак в 2024 году. Источник: Hacken.
Согласно Radiant, подписанные транзакции по-прежнему выглядели законными в пользовательском интерфейсе, что затрудняло обнаружение атаки. Нарушение также не было обнаружено во время ручного просмотра Gnosis Safe UI и этапов моделирования Tenderly обычной транзакции.
«Это было подтверждено внешними группами безопасности, включая SEAL911 и Hypernative», — отмечается в отчете о вскрытии.
Наряду с утечкой активов на сумму 50 миллионов долларов, хакеры использовали открытые одобрения для вывода средств со счетов пользователей. Другие разработчики ядра Radiant также могли быть скомпрометированы. Протокол потребовал от пользователей отозвать одобрения во всех блокчейнах, чтобы смягчить дальнейшие инциденты:
«Всем пользователям платформы Radiant настоятельно рекомендовалось отозвать любые одобрения во ВСЕХ блокчейнах — Arbitrum, BSC, Ethereum и Base».
Согласно отчету компании Hacken, занимающейся кибербезопасностью, эксплоиты контроля доступа стали причиной потери средств на сумму 316 миллионов долларов в третьем квартале. Это составляет почти 70% всех криптовалютных средств, украденных в течение квартала.
