Radiant Capital ha pubblicato un'analisi dettagliata dell'exploit del 16 ottobre che ha portato alla perdita di oltre 50 milioni di dollari in fondi degli utenti.
Secondo l’autopsia, l’aggressore ha utilizzato malware altamente avanzato per avvelenare le transazioni, consentendo loro di rubare fondi durante un processo di routine di firma multipla.
La metodologia di attacco sfrutta gli errori comuni
Tutto è iniziato con l'hacker che ha compromesso gli hard wallet appartenenti a tre degli sviluppatori principali del protocollo e vi ha iniettato malware che imitava le transazioni legittime. Mentre gli sviluppatori firmavano quelli che credevano fossero aggiustamenti di routine delle emissioni, il malware eseguiva transazioni non autorizzate in background.
Radiant Capital ha ribadito che i suoi contributori hanno seguito alla lettera le procedure operative standard nel fatidico processo. Hanno simulato ogni transazione con precisione sulla piattaforma infrastrutturale Web3 full-stack, Tenderly, sottoponendola anche a revisione individuale in ogni fase di firma.
Nonostante questi molteplici livelli di verifica, i controlli front-end non hanno mostrato segni visibili di anomalie anche quando il malware si è insinuato nei sistemi del protocollo.
Ciò che è emerso nella valutazione dell'azienda è stato anche il modo in cui l'aggressore ha sfruttato i comuni fallimenti delle transazioni per eseguire l'hacking. Hanno utilizzato il reinvio del portafoglio, spesso causato dalle fluttuazioni del prezzo del gas o dalla congestione della rete, come copertura per raccogliere le chiavi private, il tutto mantenendo l’apparenza di normalità.
L'autore del reato ha quindi acquisito il controllo di alcuni contratti intelligenti e alla fine ha sottratto milioni di dollari in criptovalute, tra cui USDC, BNB (wBNB) ed Ethereum (ETH).
L'importo effettivo rubato varia tra 50 e 58 milioni di dollari, a seconda della fonte che lo riporta. Tuttavia, la piattaforma di finanza decentralizzata (DeFi) ha dichiarato la cifra più bassa nella sua contabilità dell’incidente.
L'FBI interviene per recuperare i fondi rubati
Nel rapporto, l'istituto di credito cross-chain afferma che sta lavorando a stretto contatto con le forze dell'ordine statunitensi, compreso l'FBI, nonché con le società di sicurezza informatica SEAL911 e ZeroShadow per rintracciare la criptovaluta rubata.
Inoltre, a titolo precauzionale, ha consigliato agli utenti di revocare le approvazioni in tutte le catene, incluse Arbitrum, BSC e Base. Questo passo è in risposta allo sfruttatore che sfrutta le approvazioni aperte per drenare fondi dai conti.
Radiant Capital ha inoltre creato nuovi portafogli freddi e modificato le soglie di firma per migliorare la sicurezza della piattaforma. Allo stesso modo, ha introdotto un ritardo obbligatorio di 72 ore per tutti gli aggiornamenti contrattuali e i trasferimenti di proprietà. Ha lo scopo di dare alla comunità abbastanza tempo per controllare le transazioni prima dell'esecuzione finale.
Tuttavia, dato il livello di sofisticatezza della violazione, l’azienda ha ammesso che anche queste misure potrebbero non aver impedito l’attacco.
Gli exploit DeFi sono cresciuti a un ritmo allarmante e un paio di recenti sondaggi dipingono un quadro triste. Secondo PeckShield, nel mese di settembre si sono verificati più di 20 attacchi hacker, che hanno comportato perdite per oltre 120 milioni di dollari .
Inoltre, un'altra società di sicurezza on-chain, Hacken, ha annunciato che oltre 440 milioni di dollari rubati da piattaforme crittografiche nel terzo trimestre del 2024 sono andati perduti per sempre.
Il post Radiant Capital rilascia l'analisi post-mortem dell'attacco da 50 milioni di dollari è apparso per la prima volta su CryptoPotato .