O protocolo de empréstimos cross-chain Radiant Capital suspendeu as operações em seus mercados de empréstimos e financiamentos na Arbitrum após receber relatos de uma exploração de US$ 4,5 milhões que afetou um de seus recém-criados mercados de USDC Coin (USDC).
"Hoje, recebemos um relatório de um problema com o recém-criado mercado nativo de USDC na Arbitrum", disse a Radiant em uma postagem divulgada em 3 de janeiro no X (antigo Twitter), que eles acrescentaram ter sido confirmado posteriormente pelos desenvolvedores da Radiant e pela comunidade de segurança cibernética em geral.
Today, we received a report of an issue with the newly created native USDC market on Arbitrum. After validation by Radiant developers and the wider Web 3 security community, the Radiant DAO Council paused lending/borrowing markets on Arbitrum temporarily while this is…
— Radiant Capital (@RDNTCapital) January 3, 2024
Hoje, recebemos um relatório de um problema com o recém-criado mercado nativo de USDC na Arbitrum. Após a confirmação pelos desenvolvedores da Radiant e pela comunidade de segurança mais ampla da Web 3, o Conselho da Radiant DAO interrompeu temporariamente os mercados de empréstimo/financiamento na Arbitrum enquanto isso é resolvido.
— Radiant Capital (@RDNTCapital)
A empresa especializada em segurança de redes blockchain Beosin descreveu a exploração como um ataque de empréstimo relâmpago. O invasor explorou um "problema de arredondamento" na código base, "que levou a um erro de precisão cumulativo."
Isso acabou permitindo que o "invasor lucrasse com operações repetidas de depósito() e retirada()", escreveu a Beosin em uma postagem divulgada em 3 de janeiro no X.
Uma publicação anterior de 2 de janeiro da PeckShield também identificara o problema como causado por um "problema de arredondamento conhecido" na base de código atual da Compound/Aave.
"A causa raiz não é nova: ela basicamente explora uma janela de tempo quando um novo mercado é ativado em um mercado de empréstimos (um hard fork dos populares Compound/Aave)", acrescentou.
Radiant Capital @RDNTCapital was under a flash loan attack with a loss of $4.5M.
— Beosin Alert (@BeosinAlert) January 3, 2024
Attacker: https://t.co/L7fXlF8VXP
The attacker manipulated the index parameter (which later served as a denominator) to become extremely large. The contract has a rounding issue in its… pic.twitter.com/8AdY7pjaKE
A Radiant Capital @RDNTCapital sofreu um ataque de empréstimo relâmpago que resultou em uma perda de US$ 4,5 milhões.
Invasor: https://t.co/L7fXlF8VXP
O invasor manipulou o parâmetro do índice (que mais tarde serviu como denominador) para se tornar extremamente grande. O contrato tem um problema de arredondamento em seu código base
— Beosin Alert (@BeosinAlert)
O explorador conseguiu desviar um total de US$ 4,5 milhões em Ether (ETH) do protocolo, de acordo com dados do explorador de blocos da Arbitrum Arbiscanner.
Desde então, a Radiant suspendeu as operações em seus mercados de empréstimos e financiamentos na Arbitrum e garantiu aos investidores que nenhum fundo adicional está em risco no momento. Ela prometeu divulgar um postmortem detalhado e se comprometeu a restaurar as operações normais assim que a investigação fosse concluída.
"Como lembrete, nenhuma ação pode ser tomada até que os mercados sejam liberados na Arbitrum", acrescentou a Radiant.
Enquanto isso, o Crypto X foi inundado por contas falsas da Radiant Capital que publicam links de phishing que prometem ajudar os usuários a revogar as aprovações vinculadas aos contratos inteligentes do protocolo.
O Radiant Capital é um protocolo descentralizado de empréstimos e financiamentos com funcionalidade cross-chain, criado com a tecnologia da LayerZero. O protocolo tem atualmente cerca de US$ 315 milhões em valor total bloqueado, de acordo com dados do DefiLlama.
LEIA MAIS