Radiant Capital: как $50M взлом привёл к краху DeFi-протокола

От $300M TVL до $2M за 20 месяцев — история о том, как одна атака хакеров КНДР уничтожила перспективный кросс-чейн лендинг-протокол

Deep Dive | DeFi | ~12 минут чтения

Что произошло

Каким был Radiant Capital до взлома

Чтобы понять масштаб потери, нужно вернуться к тому, чем Radiant Capital являлся до октября 2024 года. Это был кросс-чейн лендинговый протокол, работавший одновременно на Arbitrum, Ethereum, Base и BNB Chain. В лучшие времена он удерживал более $300 млн в совокупном TVL — серьёзная цифра для протокола, построенного вокруг межсетевого заимствования и кредитования.

Токен RDNT имел листинги на трёх крупнейших централизованных биржах: Binance, OKX и Crypto.com. Для DeFi-проекта такой уровень CEX-присутствия означал реальную ликвидность и относительно широкую аудиторию держателей. Протокол не был маргинальной историей — это был проект с рабочей пользовательской базой, governance-структурой и достаточным институциональным доверием, чтобы удерживать сотни миллионов чужих активов.

Именно поэтому то, что произошло дальше, имеет значение за пределами одного кейса.

16 октября 2024 года: анатомия атаки

Взлом Radiant Capital — один из наиболее технически сложных эксплойтов в истории DeFi, и детали его исполнения заслуживают отдельного разбора.

Первый этап — внедрение бэкдора. За пять недель до самой атаки — то есть в начале сентября 2024 года — кто-то, выдававший себя за бывшего подрядчика Radiant, отправил через Telegram участнику команды сообщение. Внутри оказался macOS-бэкдор под названием INLETDRIFT. Жертва не обнаружила ничего подозрительного: всё выглядело как стандартная рабочая переписка.

Второй этап — обход всех защитных уровней. INLETDRIFT был спроектирован так, чтобы обходить сразу несколько инструментов верификации, которые команда использовала в штатном режиме. Вредоносный код прошёл через симуляцию Tenderly, верификацию через интерфейс Gnosis Safe и стандартные проверки аппаратных кошельков. Механика была проста и эффективна: пользователю отображались легитимные данные транзакции, тогда как в фоне исполнялись вредоносные подписи.

Третий этап — использование конфигурации мультиподписи. На момент атаки Radiant использовал мультиподпись формата 3-of-11: для исполнения транзакции требовалось согласие трёх из одиннадцати подписантов. Атакующим нужно было скомпрометировать лишь три устройства — ровно столько, сколько было необходимо для захвата контроля над контрактом Pool Provider.

6 декабря 2024 года Radiant опубликовал инцидент-апдейт, включавший выводы Mandiant. Фирма с высокой степенью уверенности атрибутировала атаку группе UNC4736, известной также как AppleJeus или Citrine Sleet. По оценке Mandiant, группа действует при поддержке государственных структур КНДР и аффилирована с Разведывательным генеральным бюро (RGB) — той же структурой, под зонтиком которой работает Lazarus Group.

Важно понимать: это не была атака через уязвимость в смарт-контракте. Это была операция социальной инженерии с многоуровневым техническим исполнением. Никакой формальный аудит кода не предотвратил бы её.

Почему восстановление провалилось

Взлом на $50 млн — это удар, от которого можно теоретически оправиться. Некоторые протоколы делали это. Radiant не смог — и причин здесь несколько.

Это был второй взлом за год. В январе 2024 года, за девять месяцев до северокорейской атаки, протокол уже потерял около $4,5 млн в результате флэш-лоун атаки на Arbitrum-рынки. Когда в октябре произошёл второй взлом — на этот раз на $50 млн — пользователи столкнулись с фактом: это не случайность, это системная уязвимость.

DAO не смогло договориться о компенсациях. После октябрьской атаки Radiant DAO запустил серию предложений по рекапитализации: RFP-47 с механизмом частичного резерва, подход объединённых клэймов, создание Radiant Guardian Fund, и в итоге — схема поэтапного возмещения для «Convenience Class» вкладчиков. Первые выплаты изначально планировались на Q3–Q4 2025 года, но сроки сдвинулись. Полного возмещения не последовало.

Биржи начали уходить. В январе 2025 года OKX делистировал RDNT. В июле 2025 года — Crypto.com. 18 марта 2026 года Binance анонсировал делистинг, 1 апреля остановил спотовую торговлю, а 1 июня 2026 года прекратил поддержку вывода токена, уведомив пользователей о конвертации остатков в стейблкоины. Каждый уход биржи означал сужение ликвидности и очередной сигнал недоверия рынка.

Февральский roadmap 2026 года не убедил рынок. В феврале 2026 года команда опубликовала план двойной архитектуры: core-кредитование на обновлённых контрактах Aave и изолированные рынки на Morpho, с выводом из эксплуатации легаси-продукта RIZv1. Идея технически состоятельна. Но протокол с TVL $2,21 млн, рыночной капитализацией $1,96 млн и дневным объёмом торгов $288,000 не может конкурировать с Aave, Morpho или Compound ни по ликвидности, ни по доверию пользователей.

Что осталось от Radiant к июню 2026 года

На 1 июня 2026 года протокол выглядит так:

• TVL: $2,21 млн — распределено по четырём сетям: $939,000 на Arbitrum, $468,000 на Ethereum, $458,000 на Base, $343,000 на BNB Chain
• Токен RDNT: около $0,0015, рыночная капитализация — $1,96 млн, позиция #2356 в общем рейтинге
• Биржевое присутствие: все крупные CEX-листинги закрыты
• Суточный объём торгов: $288,000
• Governance: форум технически активен, в марте 2026 года прошли выборы в Community Council, последнее обсуждение датировано 25 апреля 2026 года

Официального объявления о закрытии нет. X-аккаунт протокола не публиковал wind-down notice. Radiant, формально, продолжает существовать. Но цифры говорят сами за себя.