-
Os invasores exploraram uma vulnerabilidade em um contrato inteligente da Radiant Capital.
-
As redes afetadas foram BNB Smart Chain e Arbitrum, L2 do Ethereum.
Radiant Capital, um aplicativo de finanças descentralizadas (DeFi), foi atacado em 16 de outubro por hackersque conseguiu extrair mais de US$ 50 milhões das redes BNB Smart Chain (BSC) e Arbitrum (ARB), a maior rede de segunda classe (L2) do Ethereum.
Depois de saber desse vestuário, da conta Binance X Carteira Web3, ele intercâmbio detalhou o contrato Ethereum (ETH), Arbitrum, BSC e Base que os usuários devem revogar “o mais rápido provável” de sua carteira para evitar maiores consequências da vulnerabilidade explorada por hackers.
Nas plataformas DeFios usuários geralmente concedem permissões a contratos inteligentes de suas carteiras para movimentar seus fichas em seu nome e executar ações com eles. Isso é feito usando a função “autenticar” (autenticar), que estabelece uma atribuição de fichas que o contrato pode suportar. Revogar essas aprovações, conforme solicitado pela Binance, significa retirar essas permissões, garantindo que o contratos comprometidos não podem mais movimentar o fichas do usuário.
Para executar levante procedimento e revogar os contratos, dentro do carteira Web3 Os usuários da Binance devem acessar o BscScan Token Approval Checker e conectar sua carteira Web3. Ao fazer isso, você poderá ver uma lista de todos os contratos inteligentes que têm permissão para gastar seu fichas.
O usuário deve revisar cuidadosamente essas aprovações e selecionar aquelas que deseja revogar. Ao clicar em “Revogar”, uma solicitação de assinatura será ensejo em seu carteira. Finalmente, você deve confirmar a transação em seu carteira para concluir o processo de revogação. As demais reprovações de contratos em outras redes são realizadas de forma semelhante.
Leste procedimento garante que os contratos comprometidos não possam mais movimentar tokens de usuários sem a sua autorização, protegendo assim suas carteiras de possíveis vulnerabilidades.
Porquê aconteceu o ataque à plataforma Radiant Capital DeFi?
Los hackers criou e implementou um contrato inteligente com “backdoor” (em inglês contrato de backdoor) na infraestrutura do DeFi. Leste tipo de contrato inclui um aproximação oculto que permitiu que invasores explorassem uma vulnerabilidade na função “transferirDe”de um contrato inteligente.
A função transferirDe permite que um contrato inteligente transfira fichas da conta de um usuário para outra conta, mas somente se um usuário tiver autorizado previamente esta transferência. Esta autorização é realizada mediante cessão prévia de fichas.
No caso de um hackearuma vez que o sofrido pela Radiant Capital, os invasores podem explorar vulnerabilidades na implementação de transferirDe para motor fichas sem a devida autorização.
Embora a função transferirDe é fundamental no padrão ERC-20 do Ethereum (ETH), o BNB Smart Chain (BSC) e a Arbitrum têm uma relação estreita com esta tecnologia.
Assim, através desta modalidade, eles puderam retirar fundos sem autorizaçãoconforme relatado pela Ancilla, uma empresa de segurança Web3.
Por sua vez, a partir do dApp integrado ao carteira A Web3 da Binance anunciou hoje, 17 de outubro, o reembolso de US$ 10 milhões aos usuários.
Aliás, a Radiant Capital fechou seus mercados nas redes Base, outro L2 do Ethereum, e na sua rede principal (que inclui BSM e Arbitrum). Na plataforma expressaram que trabalham com empresas de segurança uma vez que SEAL911, Hypernative, ZeroShadow e Chainalysis para esclarecer o incidente e restaurar a segurança.
