Radiant Capital đã công bố báo cáo sau sự cố về vụ tấn công vào ngày 16 tháng 10, dẫn đến việc thất thoát hơn 50 triệu USD tài sản kỹ thuật số từ các mạng BNB Chain và Arbitrum. Theo Radiant, kẻ tấn công đã thâm nhập các thiết bị của ba nhà phát triển gắn bó lâu năm.
Nhóm tin tặc đã có thể thâm nhập các thiết bị thông qua một “tiêm nhiễm phần mềm độc hại tinh vi” để ký các giao dịch gian lận.
“Các thiết bị bị tấn công theo cách mà giao diện của Safe{Wallet} (trước đây là Gnosis Safe) hiển thị dữ liệu giao dịch hợp pháp trong khi các giao dịch gian lận được ký và thực hiện ở nền,” nhóm Radiant giải thích trong một bài viết trên blog.
Vụ tấn công
Theo công ty, vi phạm xảy ra trong một lần điều chỉnh phát thải đa chữ ký định kỳ, một quy trình diễn ra “để thích nghi với điều kiện thị trường và tỷ lệ sử dụng.”
Đa chữ ký là phương thức chủ yếu để bảo vệ các giao thức Web3. Nó yêu cầu nhiều chữ ký để ủy quyền cho một giao dịch.
Khi giao dịch được phê duyệt, các thiết bị bị xâm nhập đã chặn các phê duyệt này và thay thế bằng một giao dịch gian lận, sau đó gửi tới ví phần cứng để ký. Ngay khi Safe Wallet phát hiện vấn đề, nó hiển thị thông báo lỗi, khiến người dùng cố gắng ký lại.
Thất bại loại này có thể phát sinh từ các yếu tố như biến động giá gas, không khớp số lượng, tắc nghẽn mạng và giới hạn gas không đủ, cùng những yếu tố khác.
“Do đó, hành vi này không gây nghi ngờ ngay tức thì,” nhóm giải thích. Quá trình này cuối cùng đã cho phép kẻ tấn công thu thập ba chữ ký hợp lệ.
Thiệt hại theo nhiều dạng tấn công khác nhau trong năm 2024. Nguồn: Hacken
Theo Radiant, các giao dịch đã được ký vẫn hiển thị hợp pháp trong giao diện người dùng, làm cho vụ tấn công khó phát hiện. Vi phạm cũng không thể phát hiện trong quá trình kiểm tra thủ công của giao diện Gnosis Safe và các giai đoạn mô phỏng Tenderly của giao dịch định kỳ.
“Điều này đã được xác nhận bởi các nhóm bảo mật bên ngoài, bao gồm SEAL911 và Hypernative,” báo cáo sau sự cố ghi nhận.
Bên cạnh việc rút cạn số tài sản trị giá 50 triệu USD, các tin tặc đã lợi dụng các phê duyệt mở để rút tiền từ tài khoản của người dùng. Các phát triển cốt lõi khác của Radiant có thể cũng đã bị thâm nhập thiết bị. Giao thức đã yêu cầu người dùng thu hồi các phê duyệt trên tất cả các Chain để giảm thiểu sự cố tương tự xảy ra:
“Tất cả người dùng nền tảng Radiant được khuyến cáo mạnh mẽ nên thu hồi bất kỳ phê duyệt nào trên TẤT CẢ các Chain — Arbitrum, BSC, Ethereum & Base.”
Theo báo cáo của công ty an ninh mạng Hacken, các lỗ hổng kiểm soát truy cập đã gây ra thiệt hại 316 triệu USD trong số tiền bị mất trong quý ba. Con số này chiếm gần 70% tổng số tiền crypto bị đánh cắp trong quý.
