总结
Radiant Capital 的 DeFi 平台在 2024 年 1 月 2 日经历了一次基于闪电贷的攻击,目标是新推出的 Arbitrum 上的原生 USDC 市场。此次事件涉及对 liquidityIndex 的操纵,由于市场在启动时没有储备金,导致未经授权的借款和坏账积累。
根据 RFP-27,初始坏账 1190 ETH 已成功偿还,剩余约 720 ETH。剩余的坏账将在接下来的 ~90 天内通过使用 OpEX 资金根据 RFP-27 进行偿还,并可以在流动性提前可用的情况下杠杆 DAO 储备资金。
时间线
2024年1月2日
攻击者在区块 166405650 中启动了闪电贷攻击合约。
- 原生 USDC 市场于 2024年1月2日 UTC18:53:23 初始化
https://arbiscan.io/tx/0x0e5330ad77b9b806cb9f6ea595d58552f341dbad0691e0599ab5f1caf214c247
- 然后,攻击合约在 2024年1月2日 UTC18:53:29 大约 5 秒后部署
https://arbiscan.io/tx/0x81a1414641bc823cd623208ba4c19a6cfc94f363050487bb122c15dceadc8937
技术细节
为了执行攻击,攻击者需要积累大量的协议收入(这会增加 `liquidityIndex`)。此外,这收入必须仅归因于一个 rToken。这使得 `liquidityIndex` 被夸大到一个自然情况下无法实现的数值。只有在没有其他存款(除了用于铸造 1 个 rToken 的存款)时,这种情况才有可能发生。
一旦 `liquidityIndex` 被夸大,攻击者利用精度损失和协议在燃烧 rTokens 时偏向用户的事实,提取比他们应该能获得的更多的抵押品。
攻击的简化执行过程如下:
攻击者向储备捐赠原生 USDC,并反复提取 USDC 闪电贷,每笔贷款都要收取基本费用。这提升了他们的 1 rUSDC 的 `liquidityIndex`(通过借款费用产生的收入不可行,因为这是时间相关的,并且仅仅依靠 1 个 rUSDC 的存款很难做到)。
累积的费用计入用户的抵押品价值,用户利用这些价值借款 ETH。无论如何,他们都可以提取的总额抵押品 USDC,利用精度损失。
当储备中存在另一用户的非常少量存款时,攻击经济可行性会丧失。因此,攻击只能在以下两种情况发生:
- 当用户自然地从储备中撤出所有流动性时(注意,当协议主动停用储备时,通常不能进行攻击,因为该储备处于某种“只取款”模式)。
- 当新增一个储备时(因此尚未有任何存款)。
影响
WETH 的借用: 该攻击导致未经授权从 Radiant 的 Arbitrum 借贷协议中借入 1900 WETH。
市场完整性: rUSDC 市场的完整性受到破坏。
应对和补救措施
紧急响应: Radiant DAO 理事会做出紧急授权,暂停所有借贷池以防止进一步的利用。
调查: 发起深入分析以了解攻击的全部范围和机制。这包括招募 Radiant 现有的审计公司(OpenZeppelin、BlockSec、Zokyo、Zellic、Peckshield)以及以太坊研究社区。
安全措施: 正在实施增强的安全措施和监控工具,以检测和防止类似事件。这涉及到实施一个实时预防解决方案,用于撤回和/或前置处理攻击交易。这还伴随着额外的协议保护措施,防止快速抽走资产。结合这些措施,可以有效改善安全防范,防止进一步的攻击尝试。
攻击后发展
市场恢复: 在 2024 年 1 月 4 日,Arbitrum 上的借贷市场恢复,原生 USDC 市场待进一步审查。
治理提案 (RFP-27): 在 2024 年 1 月 5 日,Radiant DAO 提出了 RFP-27,以解决重新资本化 Arbitrum 借贷市场的策略和时间表,并偿还 WETH 市场的过剩债务。该提案包括使用 DAO 资金和 OpEx 偿还债务的选项,并可能通过在一年内出售 RDNT 代币获得 DAO 报销。
对攻击者的调解和追踪: Radiant 通过 Arbiscan/Blockscan 联系了攻击者,但未收到回复。攻击者已经将部分 ETH 转移到不同的钱包、交易所和混合器。Radiant 与 Arkham Intel 合作,提供 $100,000 赏金,激励能够积极识别攻击者或贡献有价值信息的人。
由于事件的敏感性,不会披露追踪发展的详情。
Chainalysis、交易所、法律顾问和执法部门参与其中。
根据 RFP-27,初始坏账 1190 ETH 已成功偿还,剩余约 720 ETH。剩余的坏账将在接下来的 ~90 天内通过 OpEX 资金偿还,并可以杠杆 DAO 储备资金,如果流动性提前可用。
坏账可以在 这里 进行监控。
学到的教训
新的市场部署流程更新: 此攻击向量已关闭,因为没有一个新市场可以上线而没有小额的初始存款来减轻该向量。此外,在新市场上线时暂时将抵押因子设置为 0 也是另一个调解步骤。
主动威胁监控: 评估类似 BlockSec、Chainalysis、SphereX 和 OpenZeppelin 的服务进行主动威胁监控和自动响应系统。这些当前正在评估中,并将于下个月实施。
管理的三角处理服务集成: 注册 ImmuneFi 的管理的三角处理服务,以对报告进行初步评估并升级关键问题。
内部文档增强: 建立一个全面的内部知识库,以存储和分享重要的技术信息,特别是对于新的市场添加和其他重要的协议更新。
下一步
新的原生 USDC 市场已经受到损害,需要修复(流动性指数重置),才能解冻。这是为了防止攻击者进一步操控并安全地将市场恢复上线。
关于恢复 USDC 市场的操作步骤和代码,已由 OpenZeppelin 以及以太坊研究社区进行审核,预计将在 2024 年 1 月 21 日的那一周上线。
技术评估所有实时攻击缓解解决方案的细节和实施。多个工具正在考虑中,期望至少实施 BlockSec Phalcon、OpenZeppelin、SphereX 和 Chainalysis 工具集中的一种,进行实时预防和撤销工具集。
结束语
Radiant 的核心贡献者们承认此次攻击的严重性及其对社区的影响。我们对给用户造成的困扰和不便深表遗憾。此次事件是对维护安全 DeFi 平台的挑战的谦卑提醒。
Radiant Capital 已投入超过 150 万美元进行全面代码审计、竞赛、白帽赏金和独立黑客审计。DAO 对协议安全性的承诺是首要的,我们将继续寻找改进的方法。
响应迅速,但总是有改进的空间。我们致力于从这次事件中吸取教训,并实施强有力的措施来确保我们的平台安全,保护我们社区的利益。
我们向所有受影响的人表示诚挚的歉意,并承诺会做得更好。你的信任是我们的首要任务,我们致力于恢复和维持这一信任。
在这一困难时刻,我们对更广泛的加密社区的支持和帮助表示衷心的感谢。特别感谢 HypernativeLabs 报告该攻击,以及我们的合作伙伴 [@paladinmarco, @hexagate, @BlockSecTeam, @LayerZero_Labs, @MaybeMaxPower, @samczsun, @chaos_labs, @pcaversaccio, Daniel from @OriginProtocol, Stephen Tong from @zellicio, @chainalysis, @tayvano, @cryptogle, @pashovkrum, @trmlabs, @0x4C756B65],感谢他们提供的宝贵见解、代码审查和在追踪攻击者方面的辛勤努力。
随着我们继续前进,我们专注于修复该问题并加强协议以应对未来的威胁。这包括引入先进的监测工具,对新市场进行严格的风险评估,并增强事件响应框架。
我们迈向一个安全可靠的 DeFi 生态系统的旅程将继续,我们感谢你的持续支持和理解。
