Radiant Capital, un protocollo di prestito cross-chain, è stato vittima di un importante cyberattacco che ha causato il furto di oltre 50 milioni di $ di fondi utente. Questo incidente evidenzia le potenziali debolezze dei portafogli multifirma (multisig), un meccanismo di sicurezza comunemente utilizzato nello spazio Web3.

Secondo gli esperti di sicurezza e la stessa Radiant Capital, gli aggressori hanno sfruttato le vulnerabilità negli smart contract del protocollo sulla Binance Chain (BSC) e sulla blockchain di Arbitrum. L'exploit ha sfruttato la funzione "transferFrom", consentendo agli aggressori di drenare i fondi degli utenti su varie criptovalute come USDC, WBNB ed ETH. Le stime suggeriscono che la perdita totale potrebbe arrivare fino a 58 milioni di $.

🚨~$58.000.000 di avviso di exploit🚨I contratti Radiant Capital sono stati sfruttati sulle catene BSC e ARB con la funzione 'transferFrom', che ha consentito di prosciugare i fondi degli utenti, vale a dire $USDC $WBNB $ETH e altri⚠️Revocare le approvazioni il prima possibile👇0xd50cf00b6e600dd036ba8ef475677d816d6c4281 pic.twitter.com/oUHyshwEmL

— De.Fi Antivirus Web3 🛡️ (@De_FiSecurity) 16 ottobre 2024

Radiant Capital ha confermato l'attacco e sta collaborando con aziende di sicurezza come SEAL911, Hypernative, ZeroShadow e Chainalysis per indagare e recuperare fondi. I mercati dei prestiti su BSC e Arbitrum sono stati sospesi fino a nuovo avviso, mentre le operazioni su Base e Mainnet rimangono inalterate.

Le indagini suggeriscono che gli aggressori hanno ottenuto il controllo di diverse chiavi private appartenenti ai firmatari nel portafoglio multisig di Radiant Capital. Questo accesso compromesso ha consentito loro di manipolare gli smart contract e rubare i fondi degli utenti. L'incidente sottolinea le potenziali vulnerabilità dei multisig, che sono spesso visti come un modo sicuro per gestire i portafogli di criptovaluta.

Il predominio dei multisig nella sicurezza Web3 crea un singolo punto di errore, rendendoli suscettibili ad attacchi mirati. Esperti di sicurezza come Sreeram Kannan, fondatore di EigenLayer, sottolineano la necessità di soluzioni di sicurezza più decentralizzate. Sostiene che l'affidamento ai multisig mina i principi fondamentali di fiducia e decentralizzazione insiti nella tecnologia blockchain.

Questo incidente rappresenta un campanello d'allarme per il settore Web3, che deve esplorare soluzioni di sicurezza alternative che offrano un approccio più solido e decentralizzato alla protezione dei fondi degli utenti.