Zincirler arası borç verme protokolü Radiant Capital, yeni oluşturulan USD Coin (USDC) piyasalarından birini etkileyen 4,5 milyon dolarlık istismarın ardından Arbitrum işlemlerini durdurdu.
“Radiant, 3 Ocak tarihinde X (Twitter) üzerinden yayınladığı, daha sonra Radiant geliştiricileri ve farklı siber güvenlik toplulukları tarafından doğrulandığını eklediği gönderide "Bugün, Arbitrum için yeni oluşturulan USDC pazarıyla ilgili bir sorun raporu aldık" dedi.
Today, we received a report of an issue with the newly created native USDC market on Arbitrum. After validation by Radiant developers and the wider Web 3 security community, the Radiant DAO Council paused lending/borrowing markets on Arbitrum temporarily while this is…
— Radiant Capital (@RDNTCapital) January 3, 2024
Blokzincir güvenlik firması Beosin saldırıyı, saldırganın kod tabanındaki bir "yuvarlama sorununu" istismar ederek, "toplama hatasına yol açmasıyla" gerçekleştirilen bir flaş kredi saldırısı olarak tanımladı.
3 Ocak tarihinde X’te yayınlanan başka bir gönderide ise bu durumun "saldırganın tekrarlanan para yatırma ve çekme işlemleri yoluyla kar elde ettiği" belirtildi.
PeckShield'in 2 Ocak tarihinde yayınladığı gönderide de sorunun mevcut Compound/Aave kod tabanındaki "bilinen bir yuvarlama sorunundan" kaynaklandığı belirtilmişti:
“Sorunun temelindeki neden yeni değil. Borç verme piyasasında (popüler Compound/Aave'den forklanan) yeni bir parite etkinleştirildiğinde oluşan zaman boşluğundan yararlanılıyor.”
Radiant Capital @RDNTCapital was under a flash loan attack with a loss of $4.5M.
— Beosin Alert (@BeosinAlert) January 3, 2024
Attacker: https://t.co/L7fXlF8VXP
The attacker manipulated the index parameter (which later served as a denominator) to become extremely large. The contract has a rounding issue in its… pic.twitter.com/8AdY7pjaKE
Arbiscanner'dan alınan verilere göre saldırgan, protokolden toplam 4,5 milyon dolar Ether çekmeyi başardı.
Bunun ardından Radiant, Arbitrum borç alma ve borç verme piyasalarını durdurdu ve yatırımcılara fonların risk altında olmadığı konusunda güvence verdi. Detaylı bir inceleme sözü de veren Radiant, soruşturma tamamlandıktan sonra normal operasyonlara geri dönüleceğini belirtti ve ekledi:
“Bir hatırlatma olarak, Arbitrum piyasaları açılana kadar hiçbir işlem yapılamaz.”
İlgili: Aralık ayındaki saldırılarda yaklaşık 100 milyon dolar çalındı
Crypto X ise kullanıcıların onayları iptal etmelerine yardımcı olduğunu iddia eden kimlik avı bağlantıları yayınlayan sahte Radiant Capital hesaplarını paylaştı.
Radiant Capital, LayerZero teknolojisi kullanılarak inşa edilmiş çapraz zincir işlevselliğine sahip merkeziyetsiz bir borçlanma ve borç verme protokolü. DefiLlama'ya göre protokolün şu anki kilitli toplam değeri yaklaşık 315 milyon dolar.