Cointime

Cointime

Download App
iOS & Android

Ngay sau khi lên mạng, Radiant Protocol đã bị hack và mất 4,5 triệu USD.

Phòng thí nghiệm MetaTrust của Daniel Tan

01

Bản tóm tắt

Vào ngày 3 tháng 1 năm 2024, giờ Bắc Kinh, giao thức Radiant trên Arbitrum đã bị tấn công bởi các khoản vay nhanh. Tin tặc đã thực hiện 3 cuộc tấn công vào giao thức #Radiant, dẫn đến thiệt hại tổng cộng 1.902 ETH (trị giá 4,5 triệu USD). Nguyên nhân sâu xa là vấn đề làm tròn toán học trong chức năng "đốt" đã được khuếch đại và khai thác trên thị trường $USDC mới, cho phép tin tặc rút thêm $USDC. MetaTrust Labs đã tiến hành nghiên cứu và phân tích chuyên sâu về cuộc tấn công này, tiết lộ cách tin tặc khai thác lỗ hổng để phát động cuộc tấn công.

02

Giao thức cho vay Giao thức Radiant

Radiant là một giao thức cho vay phi tập trung, không giám sát, chạy trên nhiều chuỗi, bao gồm Arbitrum, BNBChain và Ethereum.

Sau cuộc tấn công, tổng giá trị bị khóa trong giao thức Radiant vẫn là 313 triệu USD, điều này là do nhóm dự án đã nhanh chóng đình chỉ giao thức sau khi bị tấn công để ngăn chặn tổn thất thêm.

03

mốc thời gian

04

buôn bán

04

buôn bán

0xc5c4bbddec70edb58efba60c1f27bce6515a45ffcab4236026a5eeb3e877fc6d0x2af556386c023f7ebe7c662fd5d1c6cc5ed7fba4723cbd75e00faaa98cd142430x1ce7e9 a 9e3b6dd3293c9067221ac3260858ce119ecb7ca860eac28b2474c7c9b

05

mất mát tài sản

Ba giao dịch bị tấn công dẫn đến tổng thiệt hại hơn 1.902 ETH, trị giá hơn 4,5 triệu đô la Mỹ. Tại thời điểm viết bài, 1.902 $ ETH vẫn được lưu trữ trong ví của hacker (0x826d5f4d8084980366f975e10db6c4cf1f9dde6d).

kẻ tấn công

0x826d5f4d8084980366f975e10db6c4cf1f9dde6d

Hợp đồng tấn công

0x39519c027b503f40867548fb0c890b11728faa8f

Hợp đồng bị tấn công

Rạng rỡ: Nhóm cho vay: 0xf4b1486dd74d07706052a33d31d7c0aafd0659e1rUSDCn: 0x3a2d44e354f2d88ef6da7a5a4646fd70182a7f55

06

chuyện gì đã xảy ra trước cuộc tấn công

Mười lăm giây trước cuộc tấn công, bên dự án vừa tạo ra một thị trường USDC mới trên Arbitrum và hacker là người đầu tiên tương tác với thị trường USDC mới.

07

Các bước tấn công

Lấy giao dịch tấn công đầu tiên 0x1ce7e9a9e3b6dd3293c9067221ac3260858ce119ecb7ca860eac28b2474c7c9b làm ví dụ. 1. Vay 3 triệu USDC từ AAVE thông qua chức năng flash loan 2. Gửi 2 triệu USDC vào Radiant Pool. Tại thời điểm này, chỉ số thanh khoản là 1e27

3. Thực hiện khoản vay nhanh trị giá 2 triệu đô la trên Radiant Lending Pool và mở rộng chỉ số thanh khoản lên 1,8e36. 4. Lặp lại bước 3, 151 lần, để phóng to chỉ số liaidityIndex lên 2,7e38, gấp 270000000000 lần giá trị ban đầu.

5. Vay 90,6 $ETH từ Radiant Pool, trị giá $215K, đây là lợi nhuận của cuộc tấn công này;6.Tạo hợp đồng mới (0xd8b591);7. Phê duyệt USDC không giới hạn cho hợp đồng mới và chuyển 543K $USDC sang hợp đồng mới hợp đồng mới và sử dụng hợp đồng mới để thực hiện các bước sau, chuyển 543K $USDC sang hợp đồng mới và sử dụng hợp đồng mới để thực hiện các bước sau: 8. Gửi 543K $USDC vào Radiant pool và đúc 2 wei token, bởi vì số tiền được chia tỷ lệ là 2 token Coin, 543600000002*1e27/271800000000999999999999998631966035920=2;

9. Rút 407K $USDC khỏi Radiant pool, chỉ đốt 1 wei token vì moneyScaled là 1, 407700000000*1e27/2718000000009999999999999998631966035920=1,5 và các vấn đề làm tròn toán. Xin lưu ý rằng moneyScaled là biến loại uint256, sẽ chuyển đổi 1,5 thành 1.

10. Gửi 271K $USDC vào Radiant pool và đúc token với số tiền được chia theo tỷ lệ 1, kể từ 271800000001*1e27/271800000000999999999999998631966035920=1 11. Rút 407K $USDC khỏi Radiant pool và chỉ hủy số tiền được chia tỷ lệ thành 1 trong số đó mã thông báo. 12. Lặp lại các bước 10 và 11 tối đa 18 lần và rút $USDC khỏi thị trường mới mà hacker đã gửi trước đó vào thị trường mới. 13. Chuyển đổi 2 $WETH thành 4,73K $USDC và 3,23K $USDC thành 1,36 $WETH. 14. Sử dụng 3,5 triệu USDC làm tiền gốc và 15.000 USDC làm phí để trả khoản vay nhanh của AAVE. 15. Lợi nhuận $90 ETH.

08

nguyên nhân gốc rễ

Lý do cơ bản là hacker là kẻ đầu tiên tương tác với thị trường USDC gốc mới được tạo ra, khai thác chức năng cho vay nhanh của giao thức Radiant để khuếch đại chỉ số thanh khoản và khai thác các bài toán làm tròn toán học để đánh cắp tài sản từ nhóm cho vay.

09

mã khóa

Giới thiệu về Phòng thí nghiệm MetaTrust

MetaTrust Labs là nhà cung cấp hàng đầu các công cụ bảo mật trí tuệ nhân tạo Web3 và dịch vụ kiểm tra mã do Đại học Công nghệ Nanyang ở Singapore ươm tạo. Chúng tôi cung cấp các giải pháp AI tiên tiến giúp trao quyền cho các nhà phát triển và các bên liên quan của dự án để bảo mật các ứng dụng Web3 và hợp đồng thông minh. Các dịch vụ toàn diện của chúng tôi bao gồm quét bảo mật AI, kiểm tra mã, giám sát hợp đồng thông minh và giám sát giao dịch. Bằng cách tích hợp AI, chúng tôi đảm bảo một hệ sinh thái an toàn và nâng cao niềm tin giữa người dùng và nhà phát triển.

tin tặc tấn công sự cố an ninh Vốn rạng rỡ
Các bình luận

Tất cả bình luận

Recommended for you

  • Thống đốc Ngân hàng Trung ương Philippines: Định hướng chính sách tiền tệ cuối cùng sẽ có xu hướng lỏng lẻo

    Thống đốc ngân hàng trung ương Philippines cho rằng định hướng chính sách tiền tệ cuối cùng sẽ có xu hướng lỏng lẻo hơn. Khi các điều kiện chín muồi và chúng tôi cảm thấy lạm phát đã được kiểm soát, chúng tôi có ý định nới lỏng chính sách. Không có mong muốn giữ lãi suất đủ cao để gây ra tổn thất về sản lượng.

  • Vitalik: Điểm thấp của tiện ích tiền điện tử đã qua

    Vitalik Buterin đã tweet rằng điểm thấp trong tiện ích tiền điện tử đã qua. Từ góc độ công nghệ, sự phát triển lớn nhất trong 5 năm qua chủ yếu là giải quyết các vấn đề về khả năng mở rộng của blockchain. Vitalik đặc biệt đề cập đến thị trường dự đoán Polymarket, cho biết họ rất hài lòng với sự hiện diện của nó trên Ethereum sau cuộc phỏng vấn vào mùa xuân này.

  • FBI: Hãy cảnh giác với những kẻ lừa đảo mạo danh nhân viên sàn giao dịch tiền điện tử để đánh cắp tiền bất hợp pháp

    FBI đã đưa ra cảnh báo vào ngày 1 tháng 8 rằng những kẻ lừa đảo đang giả danh nhân viên của các sàn giao dịch tiền điện tử và đánh cắp tiền thông qua các tin nhắn hoặc cuộc gọi điện thoại không được yêu cầu. Những kẻ lừa đảo này tạo ra các trường hợp khẩn cấp và cho rằng tài khoản có vấn đề để lừa nạn nhân cung cấp thông tin đăng nhập. nhấp vào liên kết hoặc chia sẻ thông tin nhận dạng.

  • Nguồn cung phát hành tiền tệ ổn định đã tăng lên 144,3 tỷ USD trong tháng 7 và thị phần USDT đạt 78,9%

    Theo dữ liệu từ TheBlockPro, khối lượng giao dịch được điều chỉnh của stablecoin trên chuỗi đã tăng 18,8% trong tháng 7, đạt 997,4 tỷ USD và nguồn cung stablecoin tăng 1,2% lên 144,3 tỷ USD, trong đó thị phần của USDT và USDC lần lượt là 78,9% và 17,1%. Ngoài ra, tổng khối lượng giao dịch trên chuỗi được điều chỉnh của Bitcoin và Ethereum tăng 31,8% về tổng thể, lên tới 445 tỷ USD. Trong số đó, khối lượng giao dịch trên chuỗi được điều chỉnh của Bitcoin tăng 34,7% và của Ethereum tăng thêm. 27,7%.

  • Ngân hàng Thương mại Dubai, UAE ra mắt tài khoản dành riêng cho nhà cung cấp dịch vụ tài sản ảo

    Ngân hàng Thương mại Dubai (CBD) tại Các Tiểu vương quốc Ả Rập Thống nhất (UAE) đã ra mắt tài khoản dành riêng cho nhà cung cấp dịch vụ tài sản ảo (VASP) để quản lý tiền của khách hàng và đáp ứng các yêu cầu an toàn theo quy định. CBD ra mắt một tài khoản chuyên dụng để tuân thủ Ngân hàng Trung ương. quy định của Cơ quan quản lý tài sản ảo của UAE và Dubai (VARA). Giám đốc điều hành Bernd van Linder cho biết động thái này phù hợp với các dịch vụ ngân hàng cốt lõi của Ngân hàng Thương mại Dubai và hỗ trợ các kế hoạch của ngân hàng nhằm thúc đẩy sự phát triển của nền kinh tế kỹ thuật số.

  • Giao thức cho vay chuỗi khối Morpho hoàn thành khoản tài trợ 50 triệu USD, dẫn đầu bởi Ribbit Capital

    Công ty DeFi Morpho đã huy động được 18 triệu USD tài trợ khi CEO Paul Frambot vẫn còn là sinh viên đại học. Lần này, Morpho đã huy động được 50 triệu USD thông qua việc bán token riêng tư nhưng không tiết lộ mức định giá. Vòng tài trợ chiến lược được dẫn dắt bởi Ribbit Capital, một nhà đầu tư ban đầu vào các công ty công nghệ tài chính bao gồm Robinhood, Revolut và Coinbase.

  • Bắc Kinh: Khuyến khích sử dụng đồng nhân dân tệ kỹ thuật số trong việc giám sát tiền gửi và tiền thuê nhà

    "Các biện pháp tạm thời của Bắc Kinh về quản lý tiền đặt cọc thuê nhà ở và giám sát tiền thuê nhà" đã được ban hành. Các Biện pháp chỉ ra rằng các Biện pháp này sẽ áp dụng cho việc lưu giữ, giám sát và quản lý tiền đặt cọc và tiền thuê nhà của các doanh nghiệp cho thuê nhà ở thuê nhà của người khác và tham gia kinh doanh cho thuê lại trong thành phố này. Thành phố này khuyến khích sử dụng đồng nhân dân tệ kỹ thuật số trong việc giám sát tiền gửi và tiền thuê nhà.

  • Cập nhật dữ liệu vị trí thang độ xám vào cuối tháng 7: GBTC giảm xuống xấp xỉ 241.000 BTC và ETHE nắm giữ khoảng 2,07 triệu ETH

    Grayscale chính thức cập nhật dữ liệu quỹ Bitcoin và Ethereum kể từ ngày 31 tháng 7 như sau:

  • Doanh số NFT trên chuỗi Bitcoin trong tháng 7 là khoảng 77,3 triệu USD, mức thấp nhất kể từ tháng 11 năm 2023

    Theo dữ liệu của Cryptoslam, doanh số bán NFT trên chuỗi Bitcoin trong tháng 7 là 77.311.729,1 USD, lập kỷ lục thấp nhất kể từ tháng 11 năm 2023. Ngoài ra, số lượng giao dịch NFT trên chuỗi Bitcoin trong tháng 7 chưa đến 120.000, đây cũng là mức thấp nhất kể từ tháng 11 năm 2023. Trong số đó, có khoảng 35.477 người bán độc lập và khoảng 49.348 người mua độc lập.

  • Upbit, Bithumb và Coinone sẽ bắt đầu trả phí pháp lý, dự kiến ​​tổng cộng là 300 triệu won

    Với việc triển khai Đạo luật bảo vệ người dùng tài sản ảo, các nhà cung cấp dịch vụ tài sản ảo như Upbit, Bithumb và Coinone cũng sẽ bắt đầu trả phí quy định. Phí quản lý được tính dựa trên thu nhập hoạt động và dự kiến ​​tổng cộng là 300 triệu won (220.000 USD). Phần đóng góp theo quy định của các nhà cung cấp dịch vụ tài sản ảo sẽ được tính dựa trên thu nhập hoạt động và tỷ lệ đóng góp của năm hoạt động trước đó. Dựa trên tỷ lệ chia sẻ năm 2024, phí của Upbit sẽ vào khoảng 272 triệu won (199.000 USD) và của Bithumb là khoảng 36,5 triệu won. Coinone và Gopax lần lượt là 6,03 triệu won và 830.000 won. Korbit, công ty có doanh thu hoạt động khoảng 1,7 tỷ won vào năm ngoái, không nằm trong phạm vi phải đóng góp theo quy định. Việc thu thập các khoản đóng góp theo quy định thực tế sẽ bắt đầu vào năm tới. Có thông tin cho rằng "phí giám sát" là khoản thuế gần như do các công ty tài chính và các tổ chức tài chính khác trả và được Cục Giám sát Tài chính kiểm tra với Cục Giám sát Tài chính để đổi lấy sự giám sát và dịch vụ. Thuế sẽ được đánh vào các công ty được quản lý có thu nhập hoạt động trên 3 tỷ won (2,2 triệu USD).

phải đọc hàng ngày

hoạt động phổ biến

GM Vietnam - Vietnam Blockchain Week

GM Vietnam - Vietnam Blockchain Week

June 07 - June 08

thẻ phổ biến

Cointime
Chủ Đề
Công Ty