借貸協議Radiant Capital年內二度遭駭，損失逾五千萬美元

借貸協議 Radiant Capital 於 16 日再次遇駭，損失超過 5,000 萬美元。這已經是 Radiant 繼 1 月後二度遭到攻擊，且與先前的攻擊無關，資安專家認為本次事件是攻擊者取得 Radiant 中 11 個多簽的 3 個私鑰，從而能夠升級協議智能合約並竊取資金。

(Radiant 遭駭 450 萬鎂，暫停 Arbitrum USDC 借貸市場)

Radiant Capital 私鑰遭竊

據資安機構 De.Fi 的說法，攻擊者利用 Radiant 協議中的 transferFrom 函數，在 BNB 鏈、Arbitrum 鏈上發動攻擊，耗盡用戶帳戶中包括 USDC、WBNB、ETH 等代幣。

本次攻擊涉及到多簽錢包的控制，攻擊者透過竊取多名簽名者的私鑰，得以修改智能合約，實現資金轉移。

Fuzzland 安全研究主管 Tony Ke 另向 The Block 指出，以太坊、Base 上的 Radiant 似乎沒事，但用戶與合約交互時仍需謹慎。

~$58,000,000 Exploit Alert

Radiant Capital contracts were exploited on BSC & ARB chains with the ‘transferFrom’ function, which allowed to drain users’ funds, namely $USDC $WBNB $ETH and others

Revoke approvals ASAP
0xd50cf00b6e600dd036ba8ef475677d816d6c4281 pic.twitter.com/oUHyshwEmL

— De.Fi Antivirus Web3 (@De_FiSecurity) October 16, 2024

Radiant Capital 回應

Radiant Capital 隨後推文證實協議遭駭，並表示正在與多家資安公司合作，包括 SEAL911、Hypernative、ZeroShadow 與 Chainalysis 以調查事件並挽回損失，但沒有提供具體細節。

目前 Radiant 已暫停 BNB 鏈、Arbitrum 市場，並請用戶等待進一步通知。

攻擊者 (0x…98962) 最初在 Arbitrum 持有超過 3,200 萬美元資禪，BNB 鏈則持有 1,800 萬美元，最大持倉是 wstETH 及 weETH，且已開始大量轉移資金。

We are aware of an issue with the Radiant Lending markets on Binance Chain and Arbitrum. We are working with SEAL911, Hypernative, ZeroShadow & Chainalysis and will provide an update as soon as possible. Markets on Base and Mainnet are paused until further notice.

— Radiant Capital (@RDNTCapital) October 16, 2024

Radiant 在今年 1 月因智能合約漏洞遭到閃電貸攻擊，損失了約 1,900 ETH (時價約 450 萬美元)，談及此事件的所有資安機構包括 Radiant 在內，皆呼籲用戶需盡快撤銷合約授權。

(授權撤銷網站Revoke推出「簽名面板」功能！可取消過往簽名，避免潛在釣魚風險)

這篇文章 借貸協議Radiant Capital年內二度遭駭，損失逾五千萬美元 最早出現於 鏈新聞 ABMedia。