Cointime

Cointime

Download App
iOS & Android

Сразу после выхода в сеть Radiant Protocol был взломан и потерял 4,5 миллиона долларов.

MetaTrust Labs Дэниела Тана

01

Краткое содержание

3 января 2024 года по пекинскому времени протокол Radiant на Arbitrum подвергся атаке с помощью срочных кредитов. Хакеры провели 3 атаки на протокол #Radiant, в результате которых было потеряно 1902 ETH (на сумму $4,5 млн). Основная причина — проблема математического округления в функции «сжигания», которая была расширена и использована на новом рынке $USDC, позволяя хакерам выводить дополнительные $USDC. MetaTrust Labs провела углубленное исследование и анализ этой атаки, выявив, как хакеры воспользовались уязвимостью для запуска атаки.

02

Протокол кредитования Протокол Radiant

Radiant — это децентрализованный протокол кредитования, не связанный с хранением, который работает в нескольких цепочках, включая Arbitrum, BNBChain и Ethereum.

После атаки общая стоимость, заблокированная в протоколе Radiant, по-прежнему составляла $313 млн. Это произошло потому, что команда проекта быстро приостановила работу протокола после атаки, чтобы предотвратить дальнейшие потери.

03

Лента новостей

04

торговля

04

торговля

0xc5c4bbddec70edb58efba60c1f27bce6515a45ffcab4236026a5eeb3e877fc6d0x2af556386c023f7ebe7c662fd5d1c6cc5ed7fba4723cbd75e00faaa98cd142430x1ce7e9 a9e3b6dd3293c9067221ac3260858ce119ecb7ca860eac28b2474c7c9b

05

потеря активов

Три транзакции атаки привели к общей потере более 1902 ETH на сумму более 4,5 миллионов долларов США. На момент написания в кошельке хакера (0x826d5f4d8084980366f975e10db6c4cf1f9dde6d) все еще хранилось 1902 $ETH.

злоумышленник

0x826d5f4d8084980366f975e10db6c4cf1f9dde6d

Контракт на атаку

0x39519c027b503f40867548fb0c890b11728faa8f

Контракт под угрозой

Radiant: Кредитный пул: 0xf4b1486dd74d07706052a33d31d7c0aafd0659e1rUSDCn: 0x3a2d44e354f2d88ef6da7a5a4646fd70182a7f55

06

что произошло перед нападением

За пятнадцать секунд до атаки участник проекта только что создал новый рынок USDC на Arbitrum, и хакер был первым, кто взаимодействовал с новым рынком USDC.

07

Шаги атаки

В качестве примера возьмем первую атакующую транзакцию 0x1ce7e9a9e3b6dd3293c9067221ac3260858ce119ecb7ca860eac28b2474c7c9b. 1. Занять 3 миллиона долларов США у AAVE через функцию мгновенного кредита 2. Внести 2 миллиона долларов США в Radiant Pool. В настоящее время индекс ликвидности равен 1e27.

3. Выдайте мгновенный кредит в размере 2 миллионов долларов США в Radiant Lending Pool и увеличьте индекс ликвидности до 1,8e36. 4. Повторите шаг 3 151 раз, чтобы увеличить индекс liauidityIndex до 2,7e38, что в 270000000000 раз превышает исходное значение.

5. Занять 90,6 $ETH у Radiant Pool на сумму $215 тыс., что является прибылью от этой атаки 6. Создать новый контракт (0xd8b591) 7. Утвердить неограниченное количество долларов США для нового контракта и перевести 543 тыс. долларов США USDC в новый контракт и используйте новый контракт для выполнения следующих шагов: перенесите 543 000 долларов США в новый контракт и используйте новый контракт для выполнения следующих шагов: 8. Внесите 543 000 долларов США в пул Radiant и выпустите 2 токена wei, потому что Масштабируемая сумма равна 2 токенам Coin, 543600000002*1e27/2718000000009999999999999998631966035920=2;

9. Вывод 407 тыс. долларов США USDC из пула Radiant, сжигание только 1 Wei токенов, поскольку sumScaled равно 1, 407700000000*1e27/271800000000999999999999998631966035920=1,5 и проблемы с математическим округлением. Обратите внимание, что sumScaled — это переменная типа uint256, которая преобразует 1,5 в 1.

10. Внесите 271 тыс. долларов США в пул Radiant и выпустите жетоны на сумму 1, начиная с 271800000001*1e27/27180000000099999999999999998631966035920=1. 11. Выведите 407 тыс. долларов США в пул Radiant и уничтожьте только суммы, указанные в масштабе до 1 жетона. 12. Повторите шаги 10 и 11 до 18 раз и слейте с нового рынка доллары США USDC, которые хакер ранее внес на новый рынок. 13. Конвертируйте 2 $WETH в 4,73 тыс. $USDC и 3,23 тыс. $USDC в 1,36 $WETH. 14. Используйте 3,5 миллиона долларов США в качестве основной суммы и 15 000 долларов США в качестве комиссии для погашения срочного кредита AAVE. 15. Прибыль в размере $90 ETH.

08

первопричина

Основная причина заключается в том, что хакер первым вошел в контакт с недавно созданным собственным рынком USDC, воспользовался функцией мгновенного кредитования протокола Radiant для увеличения индекса ликвидности и использовал проблемы математического округления для кражи активов из кредитного пула.

09

ключевой код

О лаборатории МетаТраст

MetaTrust Labs — ведущий поставщик инструментов безопасности искусственного интеллекта Web3 и услуг аудита кода, созданных Наньянским технологическим университетом в Сингапуре. Мы предоставляем передовые решения искусственного интеллекта, которые позволяют разработчикам и участникам проекта защищать приложения Web3 и смарт-контракты. Наши комплексные услуги включают сканирование безопасности с помощью искусственного интеллекта, аудит кода, мониторинг смарт-контрактов и мониторинг транзакций. Интегрируя искусственный интеллект, мы обеспечиваем безопасную экосистему и повышаем доверие между пользователями и разработчиками.

хакерская атака инцидент безопасности Сияющая столица
Комментарий

Все комментарии

Рекомендуем к прочтению

  • Директор по правовым вопросам Robinhood Дэн Галлахер заявил, что не будет председателем Комиссии по ценным бумагам и биржам (SEC)

    Согласно рыночным новостям, главный юрисконсульт Robinhood Дэн Галлахер заявил, что не будет председателем Комиссии по ценным бумагам и биржам США.

  • Политические пристрастия криптовалюты: избрание Трампа спровоцировало новый бычий рост

    Криптовалюты вернулись в этот праздничный сезон, поскольку Биткойн нацелен на 100 000 долларов, а «Арахисовая белка» попала в заголовки газет с приростом в 3000%. Члены семьи будут обсуждать биткойны, мемкоины и «эту чушь Илона в Твиттере», а вам, назначенному «эксперту по криптовалютам», нужно о чем поговорить, чтобы расположить к себе обычного человека. Криптовалюта — это либертарианское безумие. Трамп считает «царем криптовалют», Биткойн достигает новых максимумов, Запуск опционов Blackstone IBIT, Возрождается программируемость Биткойна, Трамп рассматривает кандидатуру криптовалютного юриста на пост председателя SEC, выбирает Говарда Лютника министром торговли. Избрание и победа Трампа спровоцировали очередную волну криптовалют, которую многие теперь связывают с худшими эксцессами MAGA и мистификацией Илона D.O.G.E. Это не поможет вашему делу, если ваши левые родственники увидят, что новая республиканская администрация так решительно поддерживает криптовалюты. Если ваш двоюродный брат не покупает биткойны, потому что они ассоциируются с красным и оранжевым, обратитесь к фактам.

  • Косинус: после того, как пользователь использовал GPT для написания бота с использованием кода с бэкдором, закрытый ключ был отправлен на фишинговый веб-сайт.

    Согласно статье, опубликованной Slow Mist Cosine на сайте . Косинус напоминает нам, что при использовании LLM, таких как GPT/Claude, мы должны обращать внимание на широко распространенный обман в этих LLM. Мы уже упоминали атаки с отравлением ИИ, и теперь это реальный случай атаки на криптоиндустрию.

  • Американская ассоциация блокчейнов представляет рекомендации по регулированию криптовалют администрации Трампа

    Американская ассоциация блокчейнов объявила о приоритетах. Ключевое содержание включает в себя: создание нормативно-правовой базы в области криптовалют, прекращение дебанкинга компаний, занимающихся криптовалютой и блокчейн-технологиями, назначение нового председателя SEC и отмену SAB121, назначение нового руководства Министерства финансов и IRS, а также создание консультативного комитета по криптовалюте, работающего с Конгресс и федеральные регулирующие органы.

  • Верховный суд США отклонил попытку Facebook избежать иска о мошенничестве с ценными бумагами акционеров

    Верховный суд США отклонил дело, в котором Facebook, принадлежащий META, пытался избежать иска акционеров о мошенничестве с ценными бумагами.

  • Окончательный годовой уровень инфляции в США в ноябре ожидается на уровне 2,6% по сравнению с ожидаемыми 2,7% и предыдущим значением 2,60%.

    Итоговый годовой уровень инфляции в США в ноябре ожидается на уровне 2,6% по сравнению с ожидаемыми 2,7% и предыдущим значением 2,60%. Окончательное ожидаемое значение пяти-десятилетней инфляции в США в ноябре составит 3,2% по сравнению с ожидаемыми 3,1% и предыдущим значением 3,10%.

  • Платформа рынка прогнозов Polymarket приостанавливает доступ к французским пользователям из-за регуляторного расследования

    Децентрализованная рыночная платформа прогнозов Polymarket объявила, что приостанавливает доступ к своей платформе для французских пользователей. Этот шаг был предпринят через несколько недель после того, как Национальное управление по азартным играм Франции (ANJ) начало расследование на платформе в отношении соблюдения требований к азартным играм. Сообщается, что расследование началось с французского трейдера, который сделал на платформе крупную ставку на победу Трампа на президентских выборах в США в 2024 году. Хотя Polymarket ввел запрет на использование IP-адресов, французский новостной сайт о криптовалютах The Big Whale сообщил, что пользователи по-прежнему могут получить доступ к платформе через VPN. На момент публикации в Условиях обслуживания Polymarket соответствующие ограничения не были обновлены.

  • Великобритания представит правила криптовалют и стейблкоинов в начале 2025 года

    В начале 2025 года лейбористское правительство Великобритании представит комплексную нормативную базу для криптовалют, стремясь упростить регулирование и решить ключевые области, такие как стейблкоины и стейкинг. Великобритания планирует опубликовать свою структуру криптовалюты в следующем году, отражая глобальную гонку за регулирование отрасли, при этом другие юрисдикции, такие как Европейский Союз, уже продвигают стратегии по привлечению инноваций и экономических возможностей. Правительство Великобритании объявило о планах ввести единую нормативную базу для криптовалютной индустрии в начале 2025 года на Глобальном саммите по токенизации в лондонском Сити. В рамках новой структуры стейблкоины больше не будут регулироваться существующими правилами платежных услуг Великобритании. Правительство считает, что эти правила не подходят для текущих сценариев использования. Этот сдвиг направлен на то, чтобы согласовать подход Великобритании с развивающейся природой стейблкоинов, которые для стабильности часто привязаны к таким активам, как доллар США.

  • Amazon инвестирует дополнительные $4 млрд в «конкурента OpenAI» Anthropic

    Amazon и Anthropic углубляют сотрудничество и инвестируют друг в друга дополнительно 4 миллиарда долларов США. В сентябре этого года стартап в области искусственного интеллекта Anthropic искал новый раунд финансирования на сумму до 40 миллиардов долларов. Anthropic — компания, основанная в 2021 году бывшими руководителями OpenAI и специализирующаяся на создании объяснимых, безопасных и управляемых систем искусственного интеллекта. Флагманская модель искусственного интеллекта компании, Claude, работает на основе «конституционного искусственного интеллекта», модели искусственного интеллекта, которая использует заранее определенные принципы для управления результатами и предотвращения ошибочных или дискриминационных реакций.

  • Суй объявляет о стратегическом партнерстве с Franklin Templeton Digital Assets

    Фонд Sui объявил о стратегическом партнерстве с Franklin Templeton Digital Assets, чтобы сосредоточиться на поддержке разработчиков экосистемы Sui и внедрении новых технологий с использованием протокола блокчейна Sui.

Надо читать каждый день

Cointime
Содержание
компания