Анализ взлома Bybit с использованием атаки мультиподписи Radiant в качестве примера

Введение

21 февраля 2025 года на криптовалютной бирже Bybit произошел серьезный инцидент безопасности, в результате которого было похищено более $1.5 миллиарда активов. Хотя представители Bybit немедленно отреагировали и заявили, что могут выдержать убытки, событие все равно вызвало широкий отклик в отрасли. На этом фоне мы не можем не вспомнить о краже протокола межцепных кредитов Radiant Capital 17 октября 2025 года. Хотя два инцидента отличаются по методам атаки и путям реализации, они оба показывают серьезные проблемы, с которыми сталкивается криптовалютная индустрия в области безопасности.

Особенно эксперты отрасли, основатель команды SlowMist Ю Си указал, что кража Bybit может быть связана с группами хакеров из Северной Кореи (только предположение, на данный момент нет доказательств того, что это действительно сделано группами хакеров из Северной Кореи, нет советов на этот счет), и способ, которым злоумышленники в инциденте Radiant получают контроль, контролируя мультиподписные приватные ключи и используя уязвимости вредоносных контрактов, также похож на некоторые тактики хакеров из Северной Кореи. Независимо от того, контроль над холодными кошельками или изменение смарт-контрактов, оба инцидента указывают на то, что методы атак хакеров стали более сложными и скрытыми, представляя вызов для безопасности криптовалютного рынка. На примере Radiant в этой статье будет проанализирован процесс атак с использованием мультиподписи.

Изображение:https://x.com/evilcos/status/1892970435194863997

Краткое описание атаки на Radiant Capital

17 октября кросс-цепной протокол кредитования Radiant Capital был атакован сетью, что привело к потере более 50 миллионов долларов. Radiant - универсальный рынок фондов на всех цепях, где пользователи могут депонировать любой актив на любой основной блокчейн и занимать активы. Данные с цепи показывают, что хакер быстро передал украденные активы из Arbitrum и BNB Chain, примерно 12 834 ETH и 32 112 BNB были депонированы соответственно в два адреса.

Анализ процесса

Основа этой атаки заключается в том, что злоумышленник получил контроль над приватными ключами нескольких подписантов, тем самым захватив несколько смарт-контрактов. Далее мы рассмотрим конкретный процесс этой атаки и технические средства ее осуществления.

1. Атакующий вызвал функцию multicall через вредоносный контракт (т. е. 0x57ba8957ed2ff2e7ae38f4935451e81ce1eefbf5). multicall позволяет выполнять несколько различных операций в одном вызове. В этом вызове атакующий нацелился на два компонента в системе Radiant, включая поставщика адресов пула и кредитный пул.

1. В сделке 1 злоумышленник контролировал кошелек Gnosis multisig (GnosisSafeProxy_e471_1416). С помощью зловредных вызовов злоумышленник успешно выполнил execTransaction, включая использование transferOwnership для изменения адреса контракта поставщика пула кредитования. Таким образом, злоумышленник может контролировать контракт пула кредитования и далее осуществлять злонамеренные операции.
2. Атакующий использовал механизм обновления контракта, вызвав функцию setLendingPoolImpl для замены контракта реализации кредитного пула Radiant собственным вредоносным контрактом 0xf0c0a1a19886791c2dd6af71307496b1e16aa232. Этот вредоносный контракт содержит функцию бэкдора, которая позволяет атакующему дополнительно манипулировать потоком средств в системе.

Функция-заднее окошко - это тип скрытой функции во вредоносных контрактах, обычно созданная таким образом, чтобы выглядеть нормально, но на самом деле позволяет злоумышленникам обойти обычные меры безопасности и напрямую получать или передавать активы.

1. После того как контракт в кредитном пуле был заменен, злоумышленник вызвал функцию upgradeToAndCall для выполнения логики задней двери в злонамеренном контракте, далее передавая активы с рынка кредитования в контракт, управляемый злоумышленником, тем самым извлекая прибыль.

Вывод: От Radiant до Bybit безопасность остается приоритетом в криптовалютной индустрии

Хотя инциденты кражи на Bybit и Radiant произошли в разных проектах, их методы атак подчеркнули общие риски безопасности на криптовалютном рынке. Будь то контроль мультиподписных частных ключей или вмешательство в смарт-контракты, хакеры смогли легко преодолеть традиционные средства безопасности, используя сложные технические средства.

С увеличением изощренных способов хакерских атак, вопрос об усилении безопасности криптовалютных бирж и протоколов стал проблемой, над которой должна глубоко задуматься вся отрасль. Будущие проекты шифрования будут вынуждены постоянно улучшать свои возможности безопасности, чтобы гарантировать безопасность активов пользователей, будь то за счет усиления технической защиты или введения более строгих проверок безопасности во время обновлений контрактов.

Gate.com хорошо осознает важность обеспечения безопасности активов пользователей и всегда отдает этому приоритет. Мы регулярно проводим аудиты безопасности через детальное управление холодными и горячими кошельками, совмещенное с снимками баланса пользователей и структурами Merkle-деревьев, а также передовыми технологиями, чтобы всесторонне оптимизировать процессы хранения и управления активами, обеспечивая безопасность и прозрачность каждого актива.

Этот случай кражи еще раз напоминает всей отрасли о проблемах безопасности. Gate.com извлечет из этого урок, непрерывно улучшая систему защиты, применяя более продвинутые технические средства и меры мониторинга рисков, обеспечивая, чтобы платформа всегда была стабильной и надежной. Мы обещаем не пестовать усилий для защиты активов пользователей и предоставления пользователям стабильной и надежной торговой среды.