在一个扣人心弦的事件中,领先的跨链借贷协议Radiant Capital暂时冻结了其在Arbitrum网络上的借贷渠道。这一决定紧随一次精心策划的攻击事件之后,该攻击事件从其最近推出的USDC Coin(USDC)市场中窃取了惊人的450万美元(相当于2337 ETH)。
今天,我们收到了关于Arbitrum上新创建的本地USDC市场的问题的报告。在Radiant开发人员和更广泛的Web 3安全社区的验证后,Radiant DAO理事会暂时暂停了Arbitrum上的借贷市场,以便解决这个问题……
– Radiant Capital (@RDNTCapital)
2024年1月3日
闪电贷攻击的细节
Radiant的技术团队与网络安全专家一起,确定了这次袭击是一次闪电贷攻击。问题源于协议代码中一个微妙的舍入差异。领先的区块链安全公司Beosin指出,这个舍入问题导致了意外的精度误差。
Radiant Capital
@RDNTCapital
遭受了一次闪电贷攻击,损失450万美元。
攻击者:
https://t.co/L7fXlF8VXP
攻击者操纵了指数参数(后来作为分母),使其变得非常大。该合约在其…
pic.twitter.com/8AdY7pjaKE
– Beosin Alert (@BeosinAlert)
2024年1月3日
利用这个错误,攻击者调整了一个指数参数。这个调整导致了通胀,同时在存款(deposit())和取款(withdraw())操作中产生错误。这个缺陷给予了攻击者一个短暂但重要的机会来获得巨额利润。
还要阅读:
Orbit Bridge的利用导致12月份加密货币黑客损失激增,记录了1亿美元!
连接点:Compound/Aave的角色
分析公司PeckShield发现了这次攻击与Compound/Aave代码库中的一个漏洞之间的联系。值得注意的是,USDC市场在推出后仅仅六秒钟就被攻击。这一发现强调了在引入新市场时需要增强谨慎的需要。
今天对
@RDNTCapital
的黑客攻击导致了1.9k ETH(约450万美元)的损失。
根本原因并不新鲜:它基本上利用了在借贷市场中激活新市场的时间窗口(从热门的Compound/Aave分叉)。这种利用还依赖于一个已知的舍入…
https://t.co/XogWUVO3po
pic.twitter.com/x5X9ql8AGA
– PeckShield Inc. (@peckshield)
2024年1月2日
Radiant Capital迅速采取行动
作为回应,Radiant Capital暂停了其在Arbitrum上的活动。该平台向用户保证,此次攻击并未危及其他资金。一项彻底的调查正在进行中,待完成后将恢复运营。以其跨区块链资产交易而闻名的Radiant Capital现在受到加密货币社区的密切关注。
DeFi(去中心化金融)的(严酷)教训
这一事件突显了去中心化金融平台在确保安全性方面面临的挑战。随着加密货币世界的发展,这样的事件强调了对复杂攻击的强大防御能力的需求。业界将密切关注Radiant Capital在应对这一安全漏洞时的下一步行动。
还要阅读:
2023年最大的加密货币安全漏洞分析:分析最大的加密货币安全漏洞-研究报告
标签
黑客
GIPHY App Key not set. Please check settings