Radiant Capital gibt Obduktion des Angriffs vom 16. Oktober bekannt, der zum Diebstahl digitaler Vermögenswerte im Wert von über 50 Millionen US-Dollar führte

Radiant Capital hat eine Obduktion des Angriffs vom 16. Oktober veröffentlicht, der zum Diebstahl digitaler Vermögenswerte im Wert von über 50 Millionen US-Dollar aus den Netzwerken BNB Chain und Arbitrum führte.

DeFi platform Radiant Capital has disclosed a post-mortem for the Oct. 16 attack that saw over $50 million in digital assets stolen from the BNB Chain and Arbitrum networks. According to Radiant, the attacker compromised the devices of three of its long-standing developers.

Die DeFi-Plattform Radiant Capital hat eine Obduktion des Angriffs vom 16. Oktober veröffentlicht, bei dem über 50 Millionen US-Dollar an digitalen Vermögenswerten aus den Netzwerken BNB Chain und Arbitrum gestohlen wurden. Laut Radiant hat der Angreifer die Geräte von drei seiner langjährigen Entwickler kompromittiert.

Hackers were able to compromise the devices through a “sophisticated malware injection” used to sign malicious transactions.

Hacker konnten die Geräte durch eine „ausgeklügelte Malware-Injektion“ kompromittieren, mit der bösartige Transaktionen signiert wurden.

“The devices were compromised in such a way that the front-end of Safe{Wallet} (f.k.a. Gnosis Safe) displayed legitimate transaction data while malicious transactions were signed and executed in the background,” the Radiant team explained in a blog post.

„Die Geräte wurden so kompromittiert, dass das Front-End von Safe{Wallet} (ehemals Gnosis Safe) legitime Transaktionsdaten anzeigte, während im Hintergrund bösartige Transaktionen signiert und ausgeführt wurden“, erklärte das Radiant-Team in einem Blogbeitrag.

Radiant Capital is a decentralized finance (DeFi) platform that allows users to earn interest and borrow assets across multiple blockchain networks. It operates like an “omnichain money market,” enabling cross-chain transactions on lending markets in different networks, such as Ethereum, BNB and Arbitrum.

Radiant Capital ist eine dezentrale Finanzplattform (DeFi), die es Benutzern ermöglicht, Zinsen zu verdienen und Vermögenswerte über mehrere Blockchain-Netzwerke zu leihen. Es funktioniert wie ein „Omnichain-Geldmarkt“ und ermöglicht kettenübergreifende Transaktionen auf Kreditmärkten in verschiedenen Netzwerken wie Ethereum, BNB und Arbitrum.

The attack

Der Angriff

According to the company, the breach occurred during a routine multisignature emissions adjustment, a process that takes place “periodically to adapt to market conditions and utilization rates.”

Nach Angaben des Unternehmens ereignete sich der Verstoß während einer routinemäßigen Multisignatur-Emissionsanpassung, einem Prozess, der „in regelmäßigen Abständen zur Anpassung an die Marktbedingungen und Auslastungsraten“ stattfindet.

Multisignature is the dominant means of securing Web3 protocols. it requires multiple signatures to authorize a transaction.

Multisignatur ist das vorherrschende Mittel zur Sicherung von Web3-Protokollen. es erfordert mehrere Signaturen, um eine Transaktion zu autorisieren.

Once the transactions were approved, the compromised devices intercepted these approvals and replaced them with a malicious transaction, which was then forwarded to the hardware wallets for signature. As soon as the Safe Wallet detected an issue, it displayed an error message, prompting the users to attempt the signature again.

Sobald die Transaktionen genehmigt wurden, fingen die kompromittierten Geräte diese Genehmigungen ab und ersetzten sie durch eine böswillige Transaktion, die dann zur Signatur an die Hardware-Wallets weitergeleitet wurde. Sobald das Safe Wallet ein Problem erkannte, zeigte es eine Fehlermeldung an und forderte die Benutzer auf, die Signatur erneut zu versuchen.

This type of failure can arise from a number of factors, such as gas price fluctuations, nonce mismatch, network congestion, and insufficient gas limit, among others.

Diese Art von Ausfall kann auf eine Reihe von Faktoren zurückzuführen sein, wie unter anderem auf Gaspreisschwankungen, Nonce-Mismatch, Netzüberlastung und unzureichende Gasgrenzen.

“As a result, this behavior did not raise immediate suspicion,” said the team. This process ultimately allowed the attackers to gather three valid signatures.

„Infolgedessen hat dieses Verhalten keinen unmittelbaren Verdacht erweckt“, sagte das Team. Dieser Prozess ermöglichte es den Angreifern letztendlich, drei gültige Signaturen zu sammeln.

Losses across various attack types in 2024. Source: Hacken

Verluste bei verschiedenen Angriffsarten im Jahr 2024. Quelle: Hacken

As per Radiant, the signed transactions still appeared legitimate within the user interface, making the attack difficult to detect. The breach was also undetectable during the manual review of the Gnosis Safe UI and Tenderly simulation stages of the routine transaction.

Laut Radiant schienen die signierten Transaktionen auf der Benutzeroberfläche immer noch legitim zu sein, was die Erkennung des Angriffs erschwerte. Der Verstoß war auch während der manuellen Überprüfung der Gnosis Safe UI und der Tenderly-Simulationsphasen der Routinetransaktion nicht erkennbar.

“This has been confirmed by external security teams, including SEAL911 and Hypernative,” noted the post-mortem.

„Dies wurde von externen Sicherheitsteams, darunter SEAL911 und Hypernative, bestätigt“, heißt es in der Obduktion.

Along with draining assets worth $50 million, the hackers exploited open approvals to withdraw funds from users’ accounts. Other Radiant core developers may also have had their devices compromised. The protocol has requested users to revoke approvals on all chains to mitigate further incidents:

Neben der Abschöpfung von Vermögenswerten im Wert von 50 Millionen US-Dollar nutzten die Hacker offene Genehmigungen, um Geld von den Konten der Benutzer abzuheben. Möglicherweise wurden auch die Geräte anderer Radiant-Kernentwickler kompromittiert. Das Protokoll fordert Benutzer auf, Genehmigungen für alle Ketten zu widerrufen, um weitere Vorfälle abzumildern:

According to a report by cybersecurity firm Hacken, access control exploits were responsible for $316 million in lost funds during the third quarter. This accounts for nearly 70% of all crypto funds stolen during the quarter.

Laut einem Bericht des Cybersicherheitsunternehmens Hacken waren Exploits bei der Zugangskontrolle im dritten Quartal für verlorene Gelder in Höhe von 316 Millionen US-Dollar verantwortlich. Dies macht fast 70 % aller im Quartal gestohlenen Kryptogelder aus.