Radiant Capital lança análise “post-mortem” do ataque de $50 milhões
O FBI está envolvido em ajudar a Radiant a rastrear $50 milhões roubados em uma violação sofisticada de carteira multiassinatura.
A Radiant Capital lançou uma análise detalhada do ataque de 16 de outubro que levou à perda de mais de $50 milhões em fundos de usuários.
De acordo com o relatório pós-mortem, o invasor usou malware altamente avançado para envenenar transações, permitindo-lhes roubar fundos durante um processo de multiassinatura rotineiro.
Metodologia de ataque explorou erros comuns
Tudo começou com o invasor comprometendo carteiras físicas pertencentes a três dos principais desenvolvedores do protocolo e injetando nelas malware que imitava transações legítimas. À medida que os desenvolvedores assinavam o que acreditavam serem ajustes de emissão de rotina, o malware executava transações não autorizadas em segundo plano.
A Radiant Capital reiterou que seus colaboradores seguiram os procedimentos operacionais padrão à risca no processo fatídico. Eles simularam cada transação para precisão na plataforma de infraestrutura Web3 de pilha completa, Tenderly, enquanto também as submetiam a revisão individual em cada etapa de assinatura.
Apesar dessas várias camadas de verificação, os controles front-end não mostraram sinais visíveis de anomalias mesmo com o malware se infiltrando nos sistemas do protocolo.
O que também se destacou na avaliação da empresa foi como o invasor aproveitou falhas comuns de transação para executar o ataque. Eles usaram reenvios de carteira, muitas vezes causados por flutuações no preço do gás ou congestionamento da rede, como cobertura para coletar as chaves privadas, mantendo sempre a aparência de normalidade.
O autor então ganhou controle de alguns contratos inteligentes e acabou desviando milhões de dólares em criptomoedas, incluindo USDC, Wrapped BNB (wBNB) e Ethereum (ETH).
O valor real roubado varia entre $50 milhões e $58 milhões, dependendo da fonte que o reporta. No entanto, a plataforma de finanças descentralizadas (DeFi) declarou o valor mais baixo em sua contabilidade do incidente.
FBI chamado para ajudar a recuperar fundos roubados
No relatório, o credor intercadeia afirmou estar trabalhando em estreita colaboração com a aplicação da lei dos EUA, incluindo o FBI, bem como com as empresas de segurança cibernética SEAL911 e ZeroShadow para rastrear o cripto roubado. Além disso, como precaução, aconselhou os usuários a revogar todas as autorizações em todas as cadeias, incluindo Arbitrum, BSC e Base.
Essa etapa é em resposta ao explorador capitalizando em aprovações abertas para drenar fundos das contas. A Radiant Capital também criou novas carteiras frias e ajustou os limites de assinatura para melhorar a segurança da plataforma. Da mesma forma, introduziu um atraso obrigatório de 72 horas para todas as atualizações de contratos e transferências de propriedade. Isso tem como objetivo dar à comunidade tempo suficiente para verificar as transações antes da execução final.
No entanto, dado o nível de sofisticação da violação, a empresa admitiu que mesmo essas medidas podem não ter impedido o ataque. As explorações DeFi cresceram em um ritmo alarmante e algumas pesquisas recentes pintam um quadro sombrio. De acordo com a PeckShield, houve mais de 20 hacks em setembro, levando a mais de US$ 120 milhões em perdas.
Além disso, outra empresa de segurança on-chain, a Hacken, anunciou que mais de US$ 440 milhões roubados de plataformas criptográficas no terceiro trimestre de 2024 foram perdidos para sempre.