Radiant Capital tampaknya mengalami eksploitasi senilai $51 juta pada instance BNB Chain dan Arbitrum-nya
Ringkasan Singkat Serangan dimulai pada instance Arbitrum Layer 2 Ethereum milik Radiant dan kemudian berlanjut ke BNB Chain, menurut data Arkham. Dompet pelaku yang dicurigai memegang aset berbasis Arbitrum senilai lebih dari $32 juta dan sekitar $18 juta dalam bentuk token di BNB Chain.
Pasar uang omnichain Radiant Capital RDNT -7.43% tampaknya sedang mengalami eksploitasi, menurut bukti onchain dan keamanan Web3 Ancilia. Serangan dimulai Rabu sore pada instance Layer 2 Ethereum ETH +1.04% Radiant di Arbitrum ARB -0.78% dan kemudian berlanjut ke BNB +1.39% Chain, menurut data Arkham Intelligence.
“Kami telah melihat beberapa transferFrom akun pengguna melalui kontrak 0xd50cf00b6e600dd036ba8ef475677d816d6c4281. Harap cabut persetujuan Anda secepatnya. Tampaknya implementasi baru memiliki fungsi yang rentan,” tulis Ancilia di X.
Eksploitasi transferFrom menggunakan fungsi transferFrom dari kontrak pintar untuk memungkinkan satu akun mengirim sejumlah token tertentu dari akun target ke akun ketiga. Ini umumnya memerlukan akun korban untuk memberikan izin berinteraksi dengan alamat dompet palsu. Ancilia memperingatkan pengguna Radiant untuk mencabut semua alamat kontrak Radiant sebagai langkah pengamanan.
"Radiant capital telah menjadi korban peretasan yang menyebabkan kerugian $51 juta sejauh ini di Arbitrum dan BnB chain. Implementasi Ethereum dan Base tampaknya aman tetapi kami akan memperingatkan siapa pun untuk berhati-hati berinteraksi dengan kontrak ini saat ini," kata Tony Ke, pemimpin penelitian keamanan di Fuzzland, kepada The Block dalam sebuah wawancara.
Menurut Ancilia, kontrak backdoor dideploy sekitar pukul 17:09 UTC pada hari Rabu, memungkinkan penyerang yang tidak dikenal mendapatkan akses tidak sah dan mulai mentransfer token.
"Radiant memanfaatkan pengaturan multisig untuk kontrol kontrak pintar mereka yang tampaknya telah dikompromikan secara internal," kata Ke. Profil serangan menunjukkan bahwa seseorang mungkin telah di-phishing atau ada komputer yang dikompromikan atau penyerang dari dalam yang menyebabkan kebocoran kunci pribadi Radiant.
"Saat kami mempelajari lebih banyak informasi tentang bagaimana ini terjadi, kami akan mencoba bekerja sama dengan tim Radiant untuk membantu dalam upaya pemulihan dana yang mungkin," kata Ke.
Peretas mentransfer versi wrapped dari token BNB, ETH, USDC, dan USDT, antara lain, dari dompet yang dikendalikan Radiant ke satu alamat yang dimulai dengan 0x0629b. Dompet tersebut saat ini memiliki saldo BNB lebih dari $5 juta dalam bentuk token. Akun dompet yang sama di DeBank menunjukkan saldo $51 juta , dengan peningkatan 2.619.512,54% dalam kepemilikan token sejak dibuat, menunjukkan serangan ini bisa jauh lebih luas.
Alamat penyerang memegang lebih dari $32 juta aset berbasis Arbitrum dan sekitar $18 juta token di BNB Chain. Kepemilikan terbesarnya adalah derivatif ETH wstETH dan weETH.
Awal tahun ini, Radiant Capital kehilangan sekitar 1900 ETH, senilai $4,5 juta, dalam serangan pinjaman kilat.
Catatan editor: Menambahkan konteks tentang peretasan dan kutipan dari Tony Ke dari Fuzzland.
Disclaimer: Konten pada artikel ini hanya merefleksikan opini penulis dan tidak mewakili platform ini dengan kapasitas apa pun. Artikel ini tidak dimaksudkan sebagai referensi untuk membuat keputusan investasi.
Anda mungkin juga menyukai
MEMEFIUSDT sekarang diluncurkan untuk perdagangan futures dan bot trading
Bitget telah meluncurkan MEMEFIUSDT pada perdagangan futures dengan leverage maksimum 20, serta dukungan untuk bot trading futures, pada tanggal 22 November 2024 (UTC+8). Silakan mencoba perdagangan futures via situs web resmi kami (www.bitget.com) atau aplikasi Bitget. Futures perpetual MEMEFIUSDT
The Graph Memperkenalkan Standar Data GRC-20 untuk Masa Depan Web3!
HyveDA Luncurkan Komite X Dalam Kemitraan Dengan Lido, Daftarkan wstETH Sebagai Agunan Pertama
Singkatnya Hyve telah bermitra dengan Lido untuk membentuk Komite X, yang akan berfungsi sebagai Komite Ketersediaan Data tanpa izin untuk HyveDA yang akan datang, selaras dengan jaringan Ethereum.
Agenda Crypto Trump: Hoskinson Dikabarkan untuk Peran Menteri Keuangan