Radiant Capital, un importante protocollo di prestito cross-chain, ha temporaneamente sospeso i suoi mercati di prestito e prestito sulla blockchain di Arbitrum a causa di una sostanziale violazione della sicurezza.
I rapporti indicano che un attacco con prestito lampo ha provocato il ritiro non autorizzato di circa 4,5 milioni di dollari in Ether da uno dei suoi mercati USDC Coin (USDC) di nuova costituzione. Gli sviluppatori di Radiant Capital e la più ampia comunità di sicurezza informatica hanno confermato l’incidente.
L'attacco con prestito flash sfrutta il problema dell'arrotondamento
La violazione della sicurezza è stata orchestrata attraverso un attacco flash-loan, in cui l'aggressore ha sfruttato un “problema di arrotondamento” critico all'interno del codice base del protocollo. Questo difetto ha portato a un errore di precisione cumulativo, consentendo all'aggressore di trarre profitto attraverso ripetute operazioni di deposito() e prelievo() all'interno del sistema.
Beosin, una società di sicurezza blockchain, ha fornito approfondimenti sulla natura dell'exploit, definendolo un problema noto originato dall'attuale codebase Compound/Aave.
PeckShield, in un precedente rapporto del 2 gennaio, ha identificato la causa principale dell'attacco come un "problema noto di arrotondamento" all'interno del codice base Compound/Aave. Questa vulnerabilità era precedentemente associata all’attivazione di nuovi mercati nei protocolli di prestito.
In questo caso l'aggressore ha sfruttato una determinata finestra temporale durante l'attivazione di un nuovo mercato USDC nativo creato su Arbitrum , basato sui popolari protocolli Compound/Aave.
L'exploit ha portato al ritiro illecito di Ether per un valore sbalorditivo di 4,5 milioni di dollari dal protocollo di Radiant Capital. I dati del block explorer Arbitrum Arbiscanner hanno confermato l’entità della violazione. Dopo la scoperta dell’attacco, Radiant Capital ha adottato misure immediate per mettere in pausa i suoi mercati di prestito e prestito su Arbitrum.
Rassicurazione e indagine degli investitori
Radiant Capital si è mossa rapidamente per affrontare la situazione e rassicurare i suoi utenti. Il protocollo sottolineava che nessun fondo aggiuntivo era attualmente a rischio e si impegnava a condurre un’analisi post-mortem completa della violazione della sicurezza. Le normali operazioni verranno ripristinate una volta completata l’indagine e quando saranno adottate le necessarie misure di sicurezza.
Sulla scia dell'incidente di sicurezza, sono emersi account fraudolenti di Radiant Capital in vari forum di criptovaluta, in particolare su Crypto X, nel tentativo di ingannare gli utenti con collegamenti di phishing che pretendono di aiutare a revocare le approvazioni. Ciò ha sollevato preoccupazioni all'interno della comunità crittografica riguardo al potenziale di ulteriori minacce alla sicurezza e truffe rivolte agli utenti di Radiant Capital.
Radiant Capital: un protocollo di prestito decentralizzato
Radiant Capital è un protocollo di prestito e prestito decentralizzato che offre funzionalità cross-chain, utilizzando la tecnologia LayerZero. La piattaforma attualmente vanta un valore totale bloccato (TVL) di circa 315 milioni di dollari, come riportato da DefiLlama.
La violazione della sicurezza sulla blockchain di Arbitrum ha spinto Radiant Capital ad adottare misure proattive per salvaguardare le risorse dei suoi utenti e ripristinare la fiducia nella sua piattaforma.