Ngày 16/10/2024, nền tảng lending Radiant Capital trên Arbitrum và BNB Chain lại trở thành nạn nhân của một vụ tấn công lớn, gây thiệt hại hơn 51 triệu USD. Đây là lần thứ hai trong năm nay dự án này bị tấn công, sau khi đã gặp sự cố vào tháng 1 với mức thiệt hại nhỏ hơn.
Cách thức tấn công
Theo đơn vị bảo mật blockchain Ancilia, kẻ tấn công đã chiếm quyền kiểm soát 3 trong số 11 private key phê duyệt của ví multisig trên Radiant Capital. Việc này cho phép chúng can thiệp vào hợp đồng thông minh, chiếm quyền quản lý pool lending và rút tài sản. Tổng cộng, khoảng 32 triệu USD bị rút từ Arbitrum và 18 triệu USD từ BNB Chain.
Radiant Capital đã xác nhận sự cố trên mạng xã hội X (Twitter) và yêu cầu người dùng hủy quyền truy cập (revoke) các địa chỉ ví bị xâm nhập để đảm bảo an toàn. Dự án cũng quyết định tạm ngừng hoạt động trên các nền tảng liên quan cho đến khi xử lý xong lỗ hổng bảo mật.
Please revoke access to the following contracts on https://t.co/JqPsJBBfNS.
— Radiant Capital (@RDNTCapital) October 16, 2024
0xF4B1486DD74D07706052A33d31d7c0AAFD0659E1
0x30798cFe2CCa822321ceed7e6085e633aAbC492F
0xd50Cf00b6e600Dd036Ba8eF475677d816d6c4281
0xA950974f64aA33f27F6C5e017eEE93BF7588ED07 https://t.co/x4l7J8UVeT
Theo dữ liệu từ DefiLlama, TVL (tổng giá trị khóa) của Radiant Capital trước vụ tấn công dao động từ 80 đến 87 triệu USD. Như vậy, thiệt hại lần này đã làm mất đến hơn 58% tổng TVL của nền tảng, gây ra cú sốc lớn cho cộng đồng người dùng.
Sự cố này không chỉ gây tổn thất tài chính mà còn ảnh hưởng nặng nề đến uy tín của Radiant. Trước đó, vào tháng 1/2024, nền tảng đã từng mất 4,5 triệu USD trong một vụ tấn công flash loan trên Arbitrum do lỗi hợp đồng thông minh.
Phản hồi từ cộng đồng và tương lai của Radiant
Các chuyên gia bảo mật đã lên tiếng chỉ trích việc Radiant thiết lập mức phê duyệt multisig quá thấp, chỉ cần 3 trên 11 người ký là có thể thực hiện giao dịch. Điều này khiến nhiều người đặt câu hỏi về cách quản lý bảo mật của dự án.
Radiant Capital hiện đang hợp tác với các đối tác bảo mật như SEAL911, Hypernative và Chainalysis để điều tra nguyên nhân vụ tấn công và ngăn chặn tổn thất thêm. Dù vậy, hai vụ tấn công liên tiếp trong vòng chưa đầy một năm đã khiến người dùng đặt ra nhiều nghi vấn về mức độ an toàn của nền tảng.
Radiant hacked for at least $50m today.
— 0xBoboShanti (@0xBoboShanti) October 16, 2024
Attacker controlled at least 3 out of 11 multisig signers, allowing them to create and execute a tx that met the low threshold of 3 signers.
Ownership of the lending pools were transferred to the attacker, before having the… https://t.co/DjoflebxXD
Thông tin về vụ hack đã khiến giá token RDNT của Radiant giảm hơn 6%. Dự án giờ đây đối diện với thách thức lớn trong việc khôi phục niềm tin từ người dùng và bảo đảm an toàn cho các giao dịch trong tương lai.
Sự cố này là lời nhắc nhở rõ ràng về rủi ro khi tham gia vào các nền tảng DeFi và tầm quan trọng của việc không ngừng cải thiện bảo mật. Radiant Capital cần phải nhanh chóng lấy lại sự tin tưởng của cộng đồng nếu muốn tiếp tục phát triển trong môi trường cạnh tranh khốc liệt của DeFi.