A Radiant Capital divulgou uma análise pós-morte do ataque de 16 de outubro, que resultou no roubo de mais de US$ 50 milhões em ativos digitais das redes BNB Chain e Arbitrum. De acordo com a Radiant, o invasor comprometeu os dispositivos de três de seus desenvolvedores de longa data.
Os hackers conseguiram comprometer os dispositivos por meio de uma “injeção de malware sofisticada” utilizada para assinar transações maliciosas.
“Os dispositivos foram comprometidos de tal forma que a interface do Safe{Wallet} (antigo Gnosis Safe) exibiu dados de transação legítimos enquanto transações maliciosas eram assinadas e executadas em segundo plano”, explicou a equipe da Radiant em um post no blog.
A Radiant Capital é uma plataforma de finanças descentralizadas (DeFi) que permite aos usuários ganhar juros e emprestar ativos em várias redes de blockchain. Ela funciona como um “mercado monetário omnichain”, permitindo transações entre cadeias em mercados de empréstimos em diferentes redes, como Ethereum, BNB e Arbitrum.
O ataque
De acordo com a empresa, a violação ocorreu durante um ajuste rotineiro de emissões de múltiplas assinaturas, um processo que ocorre “periodicamente para se adaptar às condições de mercado e taxas de utilização”.
A multisignature é o meio dominante de segurança em protocolos Web3, exigindo múltiplas assinaturas para autorizar uma transação.
Uma vez que as transações foram aprovadas, os dispositivos comprometidos interceptaram essas aprovações e as substituíram por uma transação maliciosa, que foi então encaminhada para as carteiras de hardware para assinatura. Assim que o Safe Wallet detectou um problema, ele exibiu uma mensagem de erro, solicitando aos usuários que tentassem a assinatura novamente.
Esse tipo de falha pode surgir de vários fatores, como flutuações nos preços do gás, incompatibilidade de nonce, congestionamento da rede e limite de gás insuficiente, entre outros.
“Como resultado, esse comportamento não levantou suspeitas imediatas”, disse a equipe. Esse processo permitiu que os atacantes reunissem três assinaturas válidas.
Perdas em diversos tipos de ataques em 2024. Fonte: Hacken
De acordo com a Radiant, as transações assinadas ainda pareciam legítimas na interface do usuário, tornando o ataque difícil de detectar. A violação também foi indetectável durante a revisão manual da interface do usuário do Gnosis Safe e nas etapas de simulação do Tenderly durante a transação de rotina.
"Isto foi confirmado por equipes de segurança externas, incluindo SEAL911 e Hypernative", observou a análise pós-morte.
Além de drenar ativos no valor de US$ 50 milhões, os hackers exploraram aprovações abertas para retirar fundos das contas dos usuários. Outros desenvolvedores principais da Radiant também podem ter tido seus dispositivos comprometidos. O protocolo solicitou aos usuários que revogassem as aprovações em todas as cadeias para mitigar novos incidentes:
"Todos os usuários da plataforma Radiant foram fortemente aconselhados a revogar quaisquer aprovações em TODAS as cadeias — Arbitrum, BSC, Ethereum e Base."
De acordo com um relatório da empresa de cibersegurança Hacken, as explorações de controle de acesso foram responsáveis pela perda de US$ 316 milhões em fundos durante o terceiro trimestre. Isso representa quase 70% de todos os fundos de cripto roubados durante o trimestre.