Analizando el Hack de Bybit utilizando el Ataque de Firma Múltiple Radiante como Ejemplo

Introducción

El 21 de febrero de 2025, ocurrió un grave incidente de seguridad en el exchange de criptomonedas Bybit, lo que resultó en el robo de más de $1.5 mil millones en activos. Aunque los funcionarios de Bybit respondieron rápidamente y afirmaron que podían soportar las pérdidas, el evento aún causó un gran impacto en la industria. En este contexto, no podemos evitar recordar el robo del protocolo de préstamos cruzados de Radiant Capital el 17 de octubre de 2025. Si bien los dos incidentes difieren en cuanto a los métodos de ataque y las trayectorias de implementación, ambos revelan los serios desafíos a los que se enfrenta la industria de las criptomonedas en términos de seguridad.

Especialmente expertos de la industria, el fundador del equipo SlowMist Yu Xi señaló que el robo de Bybit puede estar relacionado con grupos de hackers norcoreanos (solo especulación, actualmente no hay evidencia que demuestre que efectivamente fue realizado por grupos de hackers norcoreanos, sin recomendación de referencia), y la forma en que los atacantes en el incidente Radiant obtienen control al controlar claves privadas de múltiples firmas y explotar vulnerabilidades de contratos maliciosos también es similar a algunas tácticas de hackers norcoreanos. Ya sea controlando billeteras frías o manipulando contratos inteligentes, ambos incidentes indican que los métodos de ataque de los hackers se han vuelto más complejos y encubiertos, planteando un desafío para la seguridad del mercado de criptomonedas. Tomando Radiant como ejemplo, este artículo analizará el proceso de ataques de múltiples firmas.

Imagen:https://x.com/evilcos/status/1892970435194863997

Breve descripción de Radiant Capital Attack

El 17 de octubre, el protocolo de préstamos entre cadenas de Radiant Capital fue objeto de un ataque a la red, lo que resultó en una pérdida de más de $50 millones. Radiant es un mercado de fondos universal en todas las cadenas donde los usuarios pueden depositar cualquier activo en cualquier cadena principal y pedir prestado activos. Los datos en cadena muestran que el hacker transfirió rápidamente los activos robados de Arbitrum y BNB Chain, con aproximadamente 12,834 ETH y 32,112 BNB depositados en dos direcciones respectivamente.

Análisis de Procesos

El núcleo de este ataque es que el atacante ha tomado el control de las claves privadas de múltiples firmantes, tomando así el control de múltiples contratos inteligentes. A continuación, profundizaremos en el proceso específico de este ataque y en los medios técnicos detrás de él.

1. El atacante invocó la función multicall a través de un contrato malicioso (es decir, 0x57ba8957ed2ff2e7ae38f4935451e81ce1eefbf5). multicall permite ejecutar múltiples operaciones diferentes en una sola llamada. En esta invocación, el atacante apuntó a dos componentes en el sistema Radiant, incluido el Proveedor de Direcciones de Piscina y la Piscina de Préstamos.

1. En la transacción 1, el atacante controlaba una billetera multisig de Gnosis (GnosisSafeProxy_e471_1416). A través de llamadas maliciosas, el atacante ejecutó con éxito un execTransaction, que incluía el uso de transferOwnership para modificar la dirección del contrato del proveedor de la piscina de préstamos. De esta manera, el atacante puede controlar el contrato de la piscina de préstamos y llevar a cabo operaciones maliciosas adicionales.
2. El atacante explotó el mecanismo de actualización del contrato llamando a la función setLendingPoolImpl para reemplazar el contrato de implementación del pool de préstamos de Radiant por su propio contrato malicioso 0xf0c0a1a19886791c2dd6af71307496b1e16aa232. Este contrato malicioso contiene una función de puerta trasera que permite al atacante manipular aún más el flujo de fondos en el sistema.

Una función de puerta trasera es un tipo de función oculta en contratos maliciosos, generalmente diseñada para parecer normal pero que en realidad permite a los atacantes evadir las medidas de seguridad normales y obtener o transferir activos directamente.

1. Después de que el contrato en el pool de préstamos fue reemplazado, el atacante llamó a la función upgradeToAndCall para ejecutar la lógica de puerta trasera en el contrato malicioso, transfiriendo además activos del mercado de préstamos al contrato controlado por el atacante, obteniendo así beneficios.

Conclusión: Desde Radiant hasta Bybit, la seguridad sigue siendo una prioridad principal en la industria de la criptomoneda

Aunque los incidentes de robo de Bybit y Radiant ocurrieron en proyectos diferentes, sus métodos de ataque han destacado los riesgos de seguridad comunes en el mercado de criptomonedas. Ya sea mediante el control de claves privadas de firma múltiple o la manipulación de contratos inteligentes, los piratas informáticos han logrado romper fácilmente las defensas de seguridad tradicionales utilizando medios técnicos sofisticados.

Con los cada vez más sofisticados medios de ataques de piratas informáticos, cómo mejorar la seguridad de los intercambios de criptomonedas y los protocolos se ha convertido en un problema que toda la industria debe considerar profundamente. Ya sea mediante el fortalecimiento de la protección técnica o la adición de revisiones de seguridad más estrictas durante las actualizaciones de contratos, los futuros proyectos de cifrado deberán mejorar continuamente sus propias capacidades de seguridad para garantizar la seguridad de los activos de los usuarios.

Gate.com es muy consciente de la importancia de salvaguardar la seguridad de los activos de los usuarios y siempre la ha priorizado. Regularmente realizamos auditorías de seguridad a través de una gestión detallada de monederos en frío y en caliente, combinada con instantáneas de saldos de usuarios y estructuras de árboles de Merkle, así como tecnologías avanzadas, para optimizar de manera integral los procesos de almacenamiento y gestión de activos, garantizando la seguridad y transparencia de cada activo.

Este incidente de robo una vez más recuerda a toda la industria de los desafíos de seguridad. Gate.com aprenderá de ello, actualizará continuamente el sistema de protección de seguridad, adoptará medios técnicos más avanzados y medidas de monitoreo de riesgos, garantizará que la plataforma sea siempre estable y confiable. Prometemos no escatimar esfuerzos para proteger los activos de los usuarios y proporcionar a los usuarios un entorno de negociación estable y confiable.