DeFi协议Radiant Capital今年第二次遭受攻击，损失4800万美元

据安全公司 Hacken早期报告显示，多链货币市场 Radiant Capital 因涉嫌访问控制漏洞被盗取至少 4800 万美元。

该消息传出后， DeFi 协议的原生代币RDNT暴跌了 7%，在过去 24 小时内仍下跌了 5% 多一点，截至发稿时交易价格为 0.067 美元。

此次攻击似乎涉及 Radiant Capital 的 MultiSig 钱包的入侵，该安全功能通常通过要求交易获得多次批准来加强保护。

黑客成功控制了平台的 Pool Provider 合约，将所有权转移给恶意合约。此漏洞使攻击者能够从币安智能链 (BSC) 和 Arbitrum 上的平台流动性池中提取大量资产。

结果，两条链上创建的借贷池中的代币被抽干，漏洞利用者带着 Wrapped Ether (WETH)、Wrapped Bitcoin (WBTC)、Arbitrum ( ARB )、USD Coin ( USDC ) 和 Tether USD ( USDT ) 等代币逃之夭夭。

哈肯建议用户立即撤销他们授予 Radiant Capital 的所有批准，以防止进一步未经授权使用他们的资金。

Hacken 还报告称，攻击中使用的恶意合约是在 14 天前部署的，这表明攻击者策划了这次劫持事件超过两周。这是黑客在 10 月 10 日第一次尝试失败后的第二次尝试。

攻击者甚至在 10 月 10 日尝试实施攻击，但失败了。区块链安全公司要求撤销对 Radiant Capital 的批准，以防止潜在的未经授权的资产访问。

FuzzLand 安全工程主管 Tony Ke建议用户也撤销对以太坊和 Base 的批准，尽管尚未证实 Radiant 是否在这些链上受到了损害。

值得注意的是，根据 DefiLlama 的数据，流失的金额超过了 Radiant Capital 记录的 7550 万美元总锁定价值 (TVL) 的一半。

Pogon Labs的CISO Mudit Gupta称该漏洞是“密钥管理失败”。这是因为 Radiant Capital 使用了具有 11 个授权签名者的多重签名钱包，但仅要求 3 个签名即可批准其合约的更改。

名为 0xBoboShanti 的 X 用户也对签名门槛过低提出质疑，该门槛还不到总数的 30%。

这是 Radiant 在 2024 年遭受的第二次攻击，去年 1 月，一名攻击者利用基于闪电贷的漏洞从该协议中窃取了450 万美元。

在闪电贷漏洞被利用三周后，Radiant 的 TVL 损失高达 37%。尽管到 3 月份它设法收回了大部分资金，但协议中锁定的资金量连续几个月减少，导致 Radiant 今年迄今已损失了 75% 的 TVL。