Analisando o Hack do Bybit Usando o Ataque de Assinatura Múltipla Radiant como Exemplo

Introdução

Em 21 de fevereiro de 2025, ocorreu um incidente grave de segurança na exchange de criptomoedas Bybit, resultando no roubo de mais de $1.5 bilhões em ativos. Embora os representantes da Bybit tenham respondido prontamente e afirmado que poderiam suportar as perdas, o evento ainda causou um choque generalizado na indústria. Neste contexto, não podemos deixar de lembrar do roubo do protocolo de empréstimo cross-chain da Radiant Capital em 17 de outubro de 2025. Embora os dois incidentes difiram em termos de métodos de ataque e caminhos de implementação, ambos revelam os sérios desafios que a indústria de criptomoedas enfrenta em termos de segurança.

Especialmente especialistas da indústria, o fundador da equipa SlowMist, Yu Xi, apontou que o roubo da Bybit pode estar relacionado com grupos de hackers norte-coreanos (apenas especulação, atualmente não há evidências que mostrem que foi realmente feito por grupos de hackers norte-coreanos, sem conselhos de referência), e a forma como os atacantes no incidente Radiant ganham controlo ao controlar chaves privadas de multi-assinatura e explorar vulnerabilidades de contratos maliciosos também é semelhante a algumas táticas de hackers norte-coreanos. Quer seja controlar carteiras frias ou adulterar contratos inteligentes, ambos os incidentes indicam que os métodos de ataque dos hackers tornaram-se mais complexos e encobertos, representando um desafio para a segurança do mercado de criptomoedas. Tomando o Radiant como exemplo, este artigo analisará o processo de ataques de multi-assinatura.

Imagem:https://x.com/evilcos/status/1892970435194863997

Breve Descrição do Ataque ao Radiant Capital

Em 17 de outubro, o protocolo de empréstimo entre cadeias da Radiant Capital foi alvo de um ataque à rede, resultando numa perda de mais de $50 milhões. A Radiant é um mercado de fundos universal em todas as cadeias, onde os utilizadores podem depositar qualquer ativo em qualquer blockchain principal e pedir empréstimos de ativos. Os dados da cadeia mostram que o hacker transferiu rapidamente os ativos roubados do Arbitrum e da BNB Chain, com aproximadamente 12.834 ETH e 32.112 BNB a serem depositados em dois endereços, respetivamente.

Análise do Processo

O cerne deste ataque é que o atacante assumiu o controle das chaves privadas de vários signatários, assumindo assim o controle de múltiplos contratos inteligentes. Em seguida, iremos aprofundar o processo específico deste ataque e os meios técnicos por trás dele.

1. O atacante invocou a funcionalidade multicall através de um contrato malicioso (i.e. 0x57ba8957ed2ff2e7ae38f4935451e81ce1eefbf5). multicall permite que múltiplas operações diferentes sejam executadas em uma única chamada. Nesta invocação, o atacante visou dois componentes no sistema Radiant, incluindo o Fornecedor de Endereços do Pool e o Pool de Empréstimos.

1. Na transação 1, o atacante controlava uma carteira multisig Gnosis (GnosisSafeProxy_e471_1416). Através de chamadas maliciosas, o atacante executou com sucesso um execTransaction, que incluía a utilização de transferOwnership para modificar o endereço do contrato do fornecedor da pool de empréstimos. Desta forma, o atacante pode controlar o contrato da pool de empréstimos e realizar operações maliciosas adicionais.
2. O atacante explorou o mecanismo de atualização do contrato chamando a função setLendingPoolImpl para substituir o contrato de implementação da piscina de empréstimos da Radiant pelo seu próprio contrato malicioso 0xf0c0a1a19886791c2dd6af71307496b1e16aa232. Este contrato malicioso contém uma função de porta dos fundos que permite ao atacante manipular ainda mais o fluxo de fundos no sistema.

Uma função de porta dos fundos é um tipo de função oculta em contratos maliciosos, geralmente projetada para parecer normal, mas na realidade permite que os atacantes contornem as medidas de segurança normais e obtenham ou transfiram ativos diretamente.

1. Após a substituição do contrato no pool de empréstimos, o atacante chamou a função upgradeToAndCall para executar a lógica de backdoor no contrato malicioso, transferindo ainda mais ativos do mercado de empréstimos para o contrato controlado pelo atacante, obtendo lucro.

Conclusão: Da Radiant para a Bybit, a segurança continua a ser uma prioridade máxima na indústria das criptomoedas

Embora os incidentes de roubo da Bybit e da Radiant tenham ocorrido em projetos diferentes, seus métodos de ataque destacaram os riscos de segurança comuns no mercado de criptomoedas. Seja através do controle de chaves privadas de multi-assinatura ou da manipulação de contratos inteligentes, os hackers têm sido capazes de facilmente contornar as defesas de segurança tradicionais usando meios técnicos sofisticados.

Com os meios de ataque de hackers cada vez mais sofisticados, como aumentar a segurança das bolsas de criptomoedas e dos protocolos tornou-se um problema que toda a indústria deve considerar profundamente. Seja através do reforço da proteção técnica ou da adição de revisões de segurança mais rigorosas durante as atualizações de contratos, os futuros projetos de criptografia precisarão aprimorar continuamente suas próprias capacidades de segurança para garantir a segurança dos ativos do usuário.

Gate.com está bem ciente da importância de salvaguardar a segurança dos ativos dos utilizadores e sempre a priorizou. Realizamos regularmente auditorias de segurança através de uma gestão detalhada das carteiras frias e quentes, combinadas com instantâneos dos saldos dos utilizadores e estruturas de árvore de Merkle, bem como tecnologias avançadas, para otimizar de forma abrangente os processos de armazenamento e gestão de ativos, garantindo a segurança e transparência de cada ativo.

Este incidente de roubo lembra mais uma vez toda a indústria dos desafios de segurança. A Gate.com aprenderá com isso, atualizará continuamente o sistema de proteção de segurança, adotará meios técnicos mais avançados e medidas de monitorização de risco, garantirá que a plataforma seja sempre estável e confiável. Prometemos não poupar esforços para proteger os ativos dos utilizadores e proporcionar-lhes um ambiente de negociação estável e confiável.