キーポイント
- マルチチェーン・マネー・マーケット・プロトコルのラディアント・キャピタルは、侵害されたマルチシグ・ウォレットと悪意のあるコントラクトの展開を含む高度なエクスプロイトにより、約4,800万ドルを失った。
- この攻撃は 流動性 バイナンス・スマートチェーンとアービトラムのプールは、バイナンスによる2回目の試みであった。 ハッカー 2週間以上前から計画されていた。
エクスプロイトの詳細と直接的な影響
2024年10月16日、分散型金融(DeFi)プロトコルのラディアント・キャピタルが重大なセキュリティ侵害の被害に遭い、少なくとも4800万ドルが失われた。セキュリティ会社Hackenの報告によると、この攻撃はアクセス・コントロールの侵害と見られ、ハッカーはラディアント・キャピタルのプール・プロバイダー契約をコントロールすることに成功した。
このエクスプロイトでは、契約の所有権が悪意のあるエンティティに移転され、攻撃者はBinanceスマートチェーン(BSC)とArbitrumの両ネットワーク上のプラットフォームの流動性プールから大量の資産を流出させることができました。影響を受けたトークンには、Wrapped Ether (WETH)、Wrapped Bitcoin (WBTC)、Arbitrum (ARB)、USDCoin(USDC)、Tether USD (USDT)が含まれます。
攻撃直後、Radiant Capitalのネイティブ・トークンであるRDNTは7%の値下がりを経験した。最新の更新では、RDNTは0.067ドルで取引され、過去24時間で5%以上下落した。
攻撃手法とセキュリティへの影響
今回の侵害は、強固なセキュリティ機能であるはずのものに重大な脆弱性があることを浮き彫りにした。攻撃者はラディアント・キャピタルのマルチシグ・ウォレットを侵害した。マルチシグ・ウォレットは、取引に複数の承認を必要とすることで保護を強化するように設計されたシステムである。この侵害は、急速に進化するDeFiの状況において、セキュリティ対策を継続的に見直し、更新することの重要性を強調している。
Hackenの調査により、攻撃に使用された悪意のある契約は、エクスプロイトが成功する14日前に展開されていたことが判明した。これは、攻撃者による綿密な計画段階を示唆するもので、攻撃者は10月10日にエクスプロイトの実行を試みて失敗していた。準備期間の長期化は、DeFi分野における既存のセキュリティ・プロトコルの検知能力について疑問を投げかけるものである。
対応と提言
この攻撃を受けて、セキュリティ専門家はラディアント・キャピタルのユーザーに対して緊急勧告を出した。Hacken氏は、資金へのさらなる不正アクセスを防ぐため、ユーザーが同プラットフォームに与えた承認を直ちに取り消すよう勧告した。FuzzLandのセキュリティ・エンジニアリング・リードであるTony Ke氏はこの勧告を拡大し、予防措置としてイーサリアムとBaseネットワーク上の承認も取り消すようユーザーに提案したが、Radiantがこれらのチェーン上で侵害されたことは確認されていない。
DefiLlamaのデータによると、この悪用による被害額は、ラディアント・キャピタルのバリュー・ロック(TVL)総額の半分以上(7550万ドル)に相当することから、その影響は特に深刻である。この事件は、DeFiプロトコルに関連するリスクと、業界全体のセキュリティ対策強化の必要性を痛感させるものである。
DeFiコミュニティがこのエクスプロイトからの影響に取り組む中で、ユーザーを保護し、分散型金融システムの信頼を維持するためには、より強固なセキュリティ・プロトコルや、おそらく規制の枠組みが必要であることは明らかだ。Radiant Capitalの悪用は、スマートコントラクトのセキュリティにおけるベストプラクティスや、このようなインシデントを防ぐための第三者監査の役割について、新たな議論を促すことになるだろう。
