Giao thức cho vay tài chính phi tập trung (DeFi), Radiant Capital đã tạm thời tạm dừng hoạt động trên mạng Ethereum lớp 2 Arbitrum sau khi nó bị khai thác với giá 1.900 ETH, tương đương 4,5 triệu USD. Trong một bài đăng ngày 3 tháng 1 trên nền tảng truyền thông xã hội X, giao thức cho vay chuỗi chéo đã xác nhận rằng họ đã nhận được báo cáo về sự cố với thị trường USDC gốc mới được tạo trên Arbitrum.
“Sau khi được các nhà phát triển Radiant và cộng đồng bảo mật Web 3 xác nhận, Radiant DAO Council đã tạm thời tạm dừng các thị trường cho vay/vay trên Arbitrum trong khi điều này được điều tra thêm,” nó nói thêm.
Nền tảng này không cung cấp thêm thông tin về nguyên nhân của vấn đề.
Tuy nhiên, một số công ty bảo mật blockchain, bao gồm cả CertiK, tuyên bố rằng giao thức này đã trải qua một cuộc tấn công cho vay nhanh, cho phép kẻ tấn công “thổi phồng chỉ số thanh khoản và sau đó khai thác vấn đề làm tròn trong `rayDiv()` trong quá trình gửi tiền() và rút tiền() để làm cạn kiệt các nhóm cho vay.”
We are seeing a flashloan attack which has caused ~$4.5M loss on Radiant protocol. The attacker inflated the liquidity index and then exploited the rounding issue in `rayDiv()` during deposit() and withdraw() to drain the lending pools.
Stay vigilant!
— CertiK Alert (@CertiKAlert) January 3, 2024
Beosin Alert giải thích thêm rằng hợp đồng Radiant USDC có vấn đề làm tròn trong tính toán, dẫn đến sai sót. Như vậy, kẻ tấn công đã thao túng tham số chỉ mục ở mức volume cao hơn.
“Kẻ tấn công đã thao túng tham số chỉ mục (sau này đóng vai trò là mẫu số) trở nên cực kỳ lớn. Hợp đồng có vấn đề làm tròn trong tính toán, dẫn đến lỗi chính xác tích lũy. Do tham số chỉ mục bị tăng cao đáng kể nên lỗi chính xác này cũng bị phóng đại, cuối cùng cho phép kẻ tấn công kiếm lợi thông qua các hoạt động deposit() và withdraw() lặp đi lặp lại,” Beosin Alert viết.
Nền tảng truyền thông xã hội X đã tràn ngập các tài khoản Radiant Capital giả mạo đăng các liên kết lừa đảo để giúp người dùng thu hồi phê duyệt. Tuy nhiên, tài khoản chính thức của giao thức đã kêu gọi cộng đồng xác minh thông tin từ các kênh chính thức và cảnh báo rằng “nhiều tài khoản giả có thể sẽ truyền bá thông tin sai lệch hoặc liên kết giả mạo”.
In light of the recent events, many imitation accounts will likely spread misinformation or fake links. Always verify information from our official channels.
Twitter: https://t.co/XTaOKteG8G
Discord: https://t.co/b5bJXVULBc
Telegram: https://t.co/d6nRwvb2bv— Radiant Capital (@RDNTCapital) January 3, 2024
Trong khi đó, sự kiện này không ảnh hưởng đáng kể đến tổng giá trị tài sản bị khóa trên giao thức, hiện ở mức khoảng 315 triệu USD tính đến thời điểm báo chí, theo dữ liệu của DeFillama.