O protocolo de empréstimo cross-chain Radiant Capital suspendeu seus mercados de empréstimo na Arbitrum (lending e borrowing) após relatos de um exploit de US$ 4,5 milhões afetando um de seus mercados recém-criados de USDC Coin (USDC).
Today, we received a report of an issue with the newly created native USDC market on Arbitrum. After validation by Radiant developers and the wider Web 3 security community, the Radiant DAO Council paused lending/borrowing markets on Arbitrum temporarily while this is…
— Radiant Capital (@RDNTCapital) January 3, 2024
A Radiant Capital, em uma postagem de 3 de janeiro no X (anteriormente Twitter), informou que recebeu um relatório sobre um problema com o mercado nativo de USDC recém-criado na Arbitrum.
Após validação pelos desenvolvedores da Radiant e pela comunidade de segurança cibernética mais ampla, o Conselho DAO da Radiant pausou temporariamente os mercados de empréstimo (lending) e empréstimo (borrowing) na Arbitrum.
A firma de segurança blockchain Beosin descreveu o exploit como um ataque de empréstimo relâmpago, com o atacante explorando um ‘problema de arredondamento’ no código, ‘levando a um erro cumulativo de precisão’.
Impacto do ataque e medidas de segurança
Este ataque permitiu ao ‘atacante lucrar através de operações repetidas de depósito e retirada’, escreveu a Beosin em uma postagem de 3 de janeiro no X.
Radiant Capital @RDNTCapital was under a flash loan attack with a loss of $4.5M.
Attacker: https://t.co/L7fXlF8VXP
The attacker manipulated the index parameter (which later served as a denominator) to become extremely large. The contract has a rounding issue in its… pic.twitter.com/8AdY7pjaKE
— Beosin Alert (@BeosinAlert) January 3, 2024
Uma postagem anterior de 2 de janeiro da PeckShield também identificou o problema como causado por um ‘problema de arredondamento conhecido’ no código base atual do Compound/Aave.
Today's hack on @RDNTCapital results in the loss of 1.9k eth (~$4.5m).
The root cause is not new: It basically exploits a time window when a new market is activated in a lending market (forked from the popular Compound/Aave). The exploitation also relies on a known rounding… https://t.co/XogWUVO3po pic.twitter.com/x5X9ql8AGA
— PeckShield Inc. (@peckshield) January 2, 2024
O explorador conseguiu desviar um total de US$ 4,5 milhões em Ether do protocolo, de acordo com dados do explorador de blocos Arbitrum Arbiscanner. A Radiant desde então pausou os mercados de empréstimo na Arbitrum e tranquilizou os investidores de que nenhum fundo adicional está atualmente em risco.
Prevenção de fraudes e futuras ações
A Radiant prometeu uma análise detalhada e se comprometeu a restaurar as operações normais assim que a investigação for concluída.
‘Como lembrete, nenhuma ação pode ser tomada até que os mercados sejam despausados na Arbitrum’, acrescentou a Radiant.
Enquanto isso, a plataforma X já foi inundada com contas falsas da Radiant Capital postando links de phishing que pretendem ajudar os usuários a revogar aprovações. Uma conta falsa da Radiant Capital tenta enganar usuários desavisados a clicar em links de phishing.
