- Hacker stahlen 1.900 ETH von der Cross-Chain Lending-Plattform Radiant Capital
- Das Radiant DAO Council hat als Reaktion das Verleihen und Ausleihen auf Arbitrum vorzeitig ausgesetzt
- Der Hacker hat sich eine Lücke im USDC-Marktplatz von Arbitrum zunutze gemacht
Wie das Blockchain-Sicherheits- und Analyse-Unternehmen PeckShield bekannt gab, haben Hacker die Cross-Chain Lending-Plattform Radiant Capital gehackt. PeckShield erläuterte den Fall am 03. Januar auf X.
Die Hacker stahlen 1.900 Ethereum im Wert von gut 4,5 Millionen US-Dollar. Dabei half ihnen eine Schwachstelle auf Arbitrum, dank dessen sie das Zeitfenster bei der Eröffnung eines neuen Lending-Marktes ausnutzten.
Radiant Capital pausiert Krypto-Kredite
Als Reaktion hat das Radiant DAO Council den Verleih und das Ausleihen von Kryptowährungen auf Arbitrum temporär ausgesetzt. Die Radiant-Entwickler und die Web3.0-Sicherheitsexperten werden den Vorfall untersuchen und das Problem beheben. Erst dann können die Lending-Geschäfte auf Arbitrum weitergehen.
Today, we received a report of an issue with the newly created native USDC market on Arbitrum. After validation by Radiant developers and the wider Web 3 security community, the Radiant DAO Council paused lending/borrowing markets on Arbitrum temporarily while this is…
— Radiant Capital (@RDNTCapital) January 3, 2024
Bei Radiant Capital handelt es sich um eine Blockchain-übergreifende Plattform für den Verleih von Kryptowährungen und um ein DeFi-Protokoll. Die Geschäfte fokussieren sich vor allem auf Arbitrum und die Binance Smart Chain (BNB). Laut Daten von DefiLlama verfügt das Protokoll über einen Total Value Locked (TVL) von 315 Millionen US-Dollar.
Nutzer können mithilfe des Protokolls Kryptowährungen über verschiedene Blockchains hinweg verleihen und damit Zinsen verdienen. Zudem verfügt die Plattform über eine eigene Kryptowährung mit dem Kürzel RDNT.
Bekannte Sicherheitslücke bei Arbitrum
Wie PeckShield meldet, handelt es sich nicht um ein neues Problem. Wenn auf Arbitrum ein neuer Markt eröffnet wird, dann gibt es ein Zeitfenster, welches sich die Hacker zunutze machen können. In diesem Fall ging es um den neuen USDC-Markt.
Today's hack on @RDNTCapital results in the loss of 1.9k eth (~$4.5m).
The root cause is not new: It basically exploits a time window when a new market is activated in a lending market (forked from the popular Compound/Aave). The exploitation also relies on a known rounding… https://t.co/XogWUVO3po pic.twitter.com/x5X9ql8AGA
— PeckShield Inc. (@peckshield) January 2, 2024
Weiterhin ist ein Abrundungsproblem innerhalb des Codes von Compound (COMP) sowie Aave (AAVE) ein Faktor. Gut 6 Sekunden, nachdem der Markt eröffnet wurde, führten die Hacker ihren Angriff durch.
Boesin Alert bezeichnet den Angriff als einen „Flash Loan Attack“. Der Hacker manipulierte den Index-Parameter, welches zu dem Abrundungsproblem führte. Dadurch konnte der Hacker wiederholt Ein- und Auszahlungen durchführen und die 1.900 Ether stehlen, wie den Daten auf Arbiscanner zu entnehmen ist.
Radiant Capital @RDNTCapital was under a flash loan attack with a loss of $4.5M.
Attacker: https://t.co/L7fXlF8VXPThe attacker manipulated the index parameter (which later served as a denominator) to become extremely large. The contract has a rounding issue in its… pic.twitter.com/8AdY7pjaKE
— Beosin Alert (@BeosinAlert) January 3, 2024
Währenddessen wird X mit Fake-Profilen überschwemmt, die sich als Radiant Capital ausgeben. Diese rufen die X-Nutzer dazu auf, über einen betrügerischen Link ihre Assets zurückzunehmen. Allerdings ist das nicht möglich, da laut dem offiziellen Account alle Tätigkeiten eingefroren sind.
Arbitrum (ARB) ist eine Layer-2-Lösung für Ethereum. Der Coin Launch startete im März 2023. Das Protokoll will Ethereums Skalierbarkeit und Geschwindigkeit verbessern. Dazu nutzt es unter anderem Optimistische Rollups. Dank dieser Technologie werden Transaktionen zunächst off-chain verarbeitet und dann gebündelt zur Blockchain gesendet.
