Radiant Capital, un protocolo de préstamos descentralizado, ha sido víctima de un nuevo hackeo que le ha costado más de 50 millones de dólares. Según expertos en seguridad y datos blockchain, este incidente se debe a un sofisticado ataque en el que los hackers tomaron el control de los smart contracts de la plataforma.
Acceso fraudulento a las claves privadas
Según la empresa de seguridad web3 Ancilia, los atacantes lograron obtener tres de las once claves privadas necesarias para modificar los smart contracts de Radiant Capital. Estas claves son gestionadas por una cartera multi-firma, lo que significa que se requiere una mayoría específica de firmantes para realizar cambios en el protocolo. Sin embargo, tres claves privadas fueron suficientes para que los hackers aprovecharan una vulnerabilidad crítica.
El ataque afectó a las blockchains de Binance Smart Chain (BSC) y Arbitrum, donde los contratos de Radiant Capital fueron manipulados a través de la función transferFrom, permitiendo a los piratas informáticos vaciar los fondos de los usuarios, especialmente en $USDC, $WBNB y $ETH.
El segundo ataque contra Radiant
No es la primera vez que Radiant Capital se enfrenta a un ataque de este tipo. En enero de este año, la plataforma ya había perdido 4,5 millones de dólares debido a una vulnerabilidad en sus smart contracts. Este nuevo ataque, mucho más devastador, vuelve a plantear preocupaciones sobre la seguridad de los protocolos DeFi y la gestión de claves privadas en un entorno descentralizado.
¿Cómo ha ocurrido el ataque?
El misterio persiste en cuanto a cómo se comprometieron las claves privadas. Algunas especulaciones surgen de un grupo de seguridad de Ethereum en Telegram, que sugieren que un front-end comprometido pudo haber engañado a los legítimos poseedores de las claves privadas, haciéndoles interactuar con un protocolo infectado con software malicioso. Radiant Capital no ha proporcionado detalles específicos al respecto, limitándose a admitir la explotación en su cuenta oficial X y recomendando a los usuarios revocar el acceso a su capital.
Reacción de Radiant Capital frente al hackeo de 50 millones de dólares
En una primera reacción, Radiant ha informado que es consciente del problema que afecta a sus mercados de préstamos en Binance Chain y Arbitrum. La empresa está trabajando actualmente con varios socios de seguridad, incluyendo SEAL911, Hypernative, ZeroShadow y Chainalysis, para comprender y mitigar las consecuencias del ataque. Mientras tanto, los mercados en Base y Mainnet han sido suspendidos.
Radiant Capital, controlado por una comunidad autónoma descentralizada (DAO), se ha propuesto como objetivo “unir los miles de millones de liquidez fragmentada en los mercados monetarios web3 en una plataforma omnicanal segura, fácil de usar y eficiente en capital”. Sin embargo, estas recientes fallas de seguridad ponen de relieve la dificultad de mantener un entorno tan seguro.