Radiant Capital, uma plataforma DeFi líder, anunciou uma colaboração contínua com autoridades dos EUA e especialistas em segurança da Web3 para recuperar mais de US$ 50 milhões roubados em um hack recente.
Em um relatório detalhado divulgado em 18 de outubro, a Radiant descreveu a violação como um dos hacks mais complexos já vistos no DeFi. A equipe também alertou que vulnerabilidades semelhantes poderiam afetar outros protocolos.
Relatório post-mortem
Segundo o relatório, os invasores usaram malware sofisticado para comprometer as carteiras de hardware de pelo menos três desenvolvedores.
Este malware obscureceu o front-end do Safe{Wallet} (anteriormente conhecido como Gnosis Safe), fazendo os desenvolvedores acreditarem que estavam assinando transações legítimas enquanto, na realidade, transações maliciosas aconteciam em segundo plano.
Notavelmente, o ataque coincidiu com o processo regular de ajuste de emissões da Radiant para responder às mudanças nas condições do mercado. Apesar das verificações de segurança minuciosas, incluindo análises manuais e simulações do Tenderly, nenhuma atividade suspeita foi sinalizada durante o processo.
No entanto, o que tornou o ataque particularmente alarmante foi a sua furtividade. Os hackers aproveitaram o recurso comum de reenvio de transações do Safe App, muitas vezes desencadeado por congestionamento da rede ou flutuações no preço do gás.
Eles imitaram erros típicos de transação para coletar múltiplas assinaturas sem serem detectadas. Assim que obtiveram as assinaturas necessárias, eles executaram a função “transferOwnership”, assumindo o controle dos pools de empréstimos da Radiant.
A exploração teve como alvo as redes Binance Smart Chain (BSC) e Arbitrum, permitindo que os invasores manipulassem a função “transferFrom” nos contratos inteligentes. Isso lhes permitiu drenar fundos de usuários que já haviam concedido permissão aos pools de empréstimos da Radiant.
Resposta da Radiant Capital
Como parte da revisão imediata da segurança, a equipe gerou novos endereços de cold wallet para cada membro da equipe usando um dispositivo seguro e descomprometido.
Além disso, a segurança em torno das carteiras multisig Admin e DAO da Radiant foi reforçada. O número de signatários foi reduzido para sete, com uma nova regra exigindo quatro em cada sete assinaturas para aprovar qualquer transação. Essa mudança garante que 60% dos assinantes validem qualquer transação antes de prosseguir.
Além disso, para proteção contra ataques futuros, todas as atualizações de contratos e transferências de propriedade serão adiadas por pelo menos 72 horas. Este atraso, imposto por contratos de timelock, fornece à comunidade Radiant e aos seus desenvolvedores tempo suficiente para revisar quaisquer alterações propostas antes que elas entrem em vigor.
A Radiant Capital também delineou medidas para ajudar a proteger outros protocolos contra ameaças semelhantes. Isso inclui a adoção de processos de verificação de assinaturas mais rigorosos, o uso de dispositivos separados para verificar os dados das transações, evitando a assinatura cega de transações críticas e a implementação de auditorias acionadas por mensagens de erro para detectar vulnerabilidades antecipadamente.
Mencionado neste artigo
source – cryptoslate.com