作者kme6833291 (派蒙)
看板DigiCurrency
标题RDNT借贷协议遭骇客,用户的钱全数卷光
时间Thu Oct 17 21:12:22 2024
新闻来源连结:
https://blockcast.it/2024/10/17/mica-daily-241017/
新闻本文:跨链借贷协议 Radiant Capital (RDNT) 传出遭遇超过 5000 万美元的网路安全攻击,目
前已经暂停其借贷市场运作。根据 Radiant 和两位网路安全专家的说法,这次攻击发生
在 BNB Chain 、 Arbitrum 两个区块链上,损失约 5,000 万美元至 5,800 万美元。
对此 Web3 网路安全公司 De.Fi Antivirus 表示,攻击者利用合约中的「transferFrom
」功能,窃取了用户资金,包括 USDC 、 WBNB 和 ETH 等加密货币。 Radiant 已经停止
了 Base 和主网上的市场活动,并正与链上分析、网路安全公司共同合作调查此事件。
初步了解是攻击者通过控制多重签名钱包的私钥,接管了多个智能合约进而窃取资金,代
表多重签名机制可能有其弱点
评论:
总而言之发生在今天早上
只要你有存钱在RDNT的ARB链跟BSC链的借贷市场的人
所有的钱钱在一瞬间全部卷走
arb链所有资产被换成32M的ETH还在ARB链上
不知道arB官方有没有封锁手段
价值1.8M的ETH已经成功跨链到主网没救了
BSC链上的所有资产被换成约18M的BNB
这些币安官网不知道有没有办法锁起来
我也中镖了BSC上还剩下约150U的杂资产还没有取出
你如果是锁成它们代币的DLP是没有事情
主网跟BASE网路没有被偷走,但是暂时锁起来
被盗窃的金额高达55M,如果没有办法追回这个是天文数字
赔偿绝对是不可能赔偿的,连一成都很难赔偿
提供流动性给链上借贷是极高风险的事情
defi被盗,10个中有9个是借贷协议
协议出问题导致资产被拿走也是几乎都是借贷协议
目前风险最低的就是AAVE了,虽然利率是最低的但也是相对安全的
bitcoincash:zqz5ase3546pq5dm9c0u3lvq8v5rps6e0gnhtkqm0j
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.171.165.225 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/DigiCurrency/M.1729170758.A.A6D.html
※ 编辑: kme6833291 (1.171.165.225 台湾), 10/17/2024 22:19:12
1F:→ DarkerDuck: 309字*7星=2163 PCH 10/17 22:27
2F:推 yahooyamgoog: 他妈的rdnt还钱 10/17 22:30
3F:推 rupcj8: 小胖最近射太多飞弹了缺钱用 10/17 22:31
5F:推 sola01078272: 金小胖又缺钱了吗 10/17 22:40
6F:推 ripple0129: 大前年跟风过一波DeFi质押赚钱,後来越来越多骇客攻 10/17 23:27
7F:→ ripple0129: 击,吓到全撤了,至今不再使用各种质押生息,为了几 10/17 23:27
8F:→ ripple0129: %年化面临归零风险,不太划算 10/17 23:27
9F:推 ripple0129: 最倒霉的一次是质押进保险协议INSUR,结果遇到USDT螺 10/17 23:31
10F:→ ripple0129: 旋死亡,原本还没发生已经撤了,但是撤出要锁两周, 10/17 23:31
11F:→ ripple0129: 就好死不死这两周爆炸,结果保险赔偿亏了好几万镁 10/17 23:31
12F:→ ripple0129: 真正靠质押有赚到钱的反而是中心化的NEXO 10/17 23:32
13F:→ gajo1564: 这就是智能合约麻烦的地方 没有开发者敢说自己的作品是 10/18 00:12
14F:→ gajo1564: 完美的 不可变合约也不符合高速发展的加密商业需求 可 10/18 00:12
15F:→ gajo1564: 合约可变被酸中心化不说 又产生了新的攻击点 10/18 00:12
16F:→ gajo1564: 审计也无法防止社交工程 不过他们疏忽确实有 没时间锁 10/18 00:20
17F:→ gajo1564: 有大量锁仓升级却免投票 3/11太低 机构投资跟上币安并 10/18 00:20
18F:→ gajo1564: 不能证明安全 顶多不会跑路而已 10/18 00:20
19F:推 h0103661: 看类型,单纯交易、铸造的合约没什麽大问题,像aave这 10/18 00:22
20F:→ h0103661: 种用增值发钱、价格到就断头的传统借贷没什麽漏洞,但 10/18 00:22
21F:→ h0103661: 新的借贷合约有些主打渐进清算、循环贷,或是这篇的主 10/18 00:22
22F:→ h0103661: 角跨链贷,留了门给人操作,也变成留给骇客。 10/18 00:22
23F:推 h0103661: 回到这个案例,多签钱包的多个私钥同时外泄,很难不让 10/18 00:29
24F:→ h0103661: 人觉得是自己人偷钱跑路。 10/18 00:29
25F:→ gajo1564: 错了 这家在借贷合约纯粹aave fork 其他创意比如透过la 10/18 00:44
26F:→ gajo1564: yerzero跨链跟类ve33的代币模型都不涉及这次的问题 就 10/18 00:44
27F:→ gajo1564: 只是合约的可升级性 我是觉得上币安launchpool时肯定有 10/18 00:44
28F:→ gajo1564: kyc过 还搞自盗风险不小啦 10/18 00:44
29F:→ gajo1564: 借了点rdnt去玩radpie 喜鹊最近很背啊...defi玩家真的 10/18 00:49
30F:→ gajo1564: 要谨记分散风险 10/18 00:49
31F:推 h0103661: 说到aave,去年也外泄过arb金钥被盗100多万,这麽说起 10/18 00:51
32F:→ h0103661: 来难道是同个手法? 10/18 00:51
33F:→ gajo1564: 私钥泄漏的原因不好找 等之後的调查吧 10/18 01:02
34F:推 qw5526259: 阿弥陀佛~~~这太可怕了~~~ 10/18 12:21
35F:推 lnonai: 跨链安全性基本可以当作没有… 10/18 12:46
36F:→ lnonai: Defi就要注意有没有闪电贷,有闪电贷的风险系数就会比较 10/18 12:47
37F:→ lnonai: 高 10/18 12:47
38F:推 snowoffish: 又是跨链 惨 10/18 14:13
39F:→ snowoffish: 某楼讲的是UST不是USDT 10/18 14:13
40F:推 allen139443: 闪电贷不是defi标配吗,aave就有闪电贷 10/18 14:30
41F:推 tearcolor: 都2024年了,故事还是一样 10/18 18:27
42F:→ DarkerDuck: 在跨链议题上, Vitalik早就说尽量用Atomic Swap就好 10/18 20:32
43F:→ DarkerDuck: 跨链桥或是封装跨链资产几乎都有第三方信任风险 10/18 20:33
44F:→ DarkerDuck: 还有那种一包再包,一跨再跨的,那风险就.... 10/18 20:36
45F:推 leofu100: 自己人又缺钱罗? 10/18 21:26
47F:→ gajo1564: tatus/1847111348309971102 10/18 22:07
49F:推 h0103661: 11支多签,换owner的权限居然没有限制特定用户,随便三 10/18 22:53
50F:→ h0103661: 把就能换,那分11把干嘛xD 10/18 22:53
51F:推 moonkuma: 骇客(X 卷款跑路(O 10/21 08:08