灰度_找资源，谈合作，上灰度

借贷协议 Radiant Capital 于 16 日再次遇骇，损失超过 5,000 万美元。这已经是 Radiant 继 1 月后二度遭到攻击，且与先前的攻击无关，资安专家认为本次事件是攻击者取得 Radiant 中 11 个多签的 3 个私钥，从而能够升级协议智能合约并窃取资金。

(Radiant 遭骇 450 万镁，暂停 Arbitrum USDC 借贷市场)

Table of Contents

Radiant Capital 私钥遭窃

据资安机构 De.Fi 的说法，攻击者利用 Radiant 协议中的 transferFrom 函数，在 BNB 链、Arbitrum 链上发动攻击，耗尽用户帐户中包括 USDC、WBNB、ETH 等代币。

广告 - 内文未完请往下卷动

本次攻击涉及到多签钱包的控制，攻击者通过窃取多名签名者的私钥，得以修改智能合约，实现资金转移。

Fuzzland 安全研究主管 Tony Ke 另向 The Block 指出，以太坊、Base 上的 Radiant 似乎没事，但用户与合约交互时仍需谨慎。

~$58,000,000 Exploit Alert

Radiant Capital contracts were exploited on BSC & ARB chains with the ‘transferFrom’ function, which allowed to drain users’ funds, namely $USDC $WBNB $ETH and others

⚠️Revoke approvals ASAP
0xd50cf00b6e600dd036ba8ef475677d816d6c4281 pic.twitter.com/oUHyshwEmL

— De.Fi Antivirus Web3 ️ (@De_FiSecurity) October 16, 2024

Radiant Capital 回应

Radiant Capital 随后推文证实协议遭骇，并表示正在与多家资安公司合作，包括 SEAL911、Hypernative、ZeroShadow 与 Chainalysis 以调查事件并挽回损失，但没有提供具体细节。

目前 Radiant 已暂停 BNB 链、Arbitrum 市场，并请用户等待进一步通知。

攻击者 (0x…98962) 最初在 Arbitrum 持有超过 3,200 万美元资禅，BNB 链则持有 1,800 万美元，最大持仓是 wstETH 及 weETH，且已开始大量转移资金。

We are aware of an issue with the Radiant Lending markets on Binance Chain and Arbitrum. We are working with SEAL911, Hypernative, ZeroShadow & Chainalysis and will provide an update as soon as possible. Markets on Base and Mainnet are paused until further notice.

— Radiant Capital (@RDNTCapital) October 16, 2024

Radiant 在今年 1 月因智能合约漏洞遭到闪电贷攻击，损失了约 1,900 ETH (时价约 450 万美元)，谈及此事件的所有资安机构包括 Radiant 在内，皆呼吁用户需尽快撤销合约授权。

(授权撤销网站Revoke推出「签名皮肤」功能！可取消过往签名，避免潜在钓鱼风险)