خسرت بروتوكولات الإقراض على البلوكشين، Radiant Capital، أكثر من 50 مليون دولار يوم الأربعاء نتيجة هجوم إلكتروني مُحتمل، وفقًا للخبراء الأمنيين وبيانات البلوكشين.
تفاصيل الهجوم على Radiant Capital
يبدو أن المهاجم تمكن من السيطرة على عقود Radiant Capital على البلوكشين من خلال الحصول على ثلاثة من "المفاتيح الخاصة" التي تتحكم في البروتوكول، وفقا لما ذكره خبراء الأمن السيبراني. كما أوضحت شركة De.Fi المتخصصة في أمان Web3 على منصة X أن عقود Radiant Capital تم استغلالها على سلاسل BSC وARB من خلال وظيفة "transferFrom". سمح هذا الاستغلال للمهاجمين بتصريف أموال المستخدمين، بما في ذلك عملات $USDC و$WBNB و$ETH وغيرها.
التحكم في المنصة
تُدار Radiant من خلال محفظة متعددة التوقيع، أو ما يعرف بـ "multisig"، التي تضم 11 موقّعا، كما ذكرت De.Fi في منشور منفصل على X. يبدو أن المهاجم تمكن من الحصول على مفاتيح خاصة لثلاثة من هؤلاء الموقّعين، وهو ما كان كافيا لترقية العقود الذكية للمنصة.
أدوات المنصة
تقدم منصة Radiant مجموعة من الأدوات التي تتيح للمستخدمين اقتراض وإقراض ونقل العملات الرقمية عبر سلاسل البلوكشين. ويعد هذا الهجوم الثاني الذي يستهدف البروتوكول هذا العام، حيث خسرت Radiant في يناير الماضي 4.5 مليون دولار في اختراق غير مرتبط ناتج عن خطأ في عقودها الذكية.
الغموض المحيط بالهجوم
لم يتضح حتى وقت نشر هذا التقرير كيفية تعرض المفاتيح الخاصة للاختراق في هجوم يوم الأربعاء. بعض أعضاء مجموعة أمان Ethereum على تطبيق تيليجرام توقعوا أن الهجوم قد يكون ناجما عن واجهة مستخدم مخترقة، مما يعني أن حاملي المفاتيح الشرعيين في Radiant ربما تفاعلوا عن غير قصد مع بروتوكول يحتوي على برمجيات ضارة.
استجابة Radiant
أقرت Radiant بالاستغلال في منشور على حسابها الرسمي في X، لكنها لم تقدم تفاصيل دقيقة. وقالت الشركة: "نحن على علم بمشكلة في أسواق الإقراض في Radiant على سلسلة Binance وArbitrum. نحن نعمل مع SEAL911 وHypernative وZeroShadow وChainalysis وسنقدم تحديثا في أقرب وقت ممكن. تم إيقاف الأسواق على Base وMainnet حتى إشعار آخر."
الهدف من Radiant
تؤكد Radiant، التي تُدار من قبل مجتمع لامركزي مستقل، على موقعها الإلكتروني أن مهمتها هي "توحيد المليارات من السيولة المجزأة عبر أسواق المال في Web3 تحت نظام آمن وسهل الاستخدام وفعال من حيث رأس المال."
