قراصنة من كوريا الشمالية وراء عملية سرقة 50 مليون دولار من Radiant Capital
في كشف مرعب، أكد مشروع التمويل اللامركزي Radiant Capital أن قراصنة من كوريا الشمالية دبروا سرقة 50 مليون دولار في هجوم متطور في أكتوبر. استغل الاختراق البرامج الضارة وبروتوكولات التوقيع المتعدد وحيلة هندسة اجتماعية ماكرة لسحب الأموال من الأسواق الأساسية، مما ترك المنصة ومستخدميها في حالة من الذعر.
جدول المحتويات
كيف وقع الهجوم
بدأت عملية السرقة بمخطط تصيد مستهدف في سبتمبر، وفقًا لتقرير ما بعد الوفاة الصادر عن شركة Radiant. تلقى أحد المطورين رسالة عبر تطبيق Telegram من حساب ينتحل شخصية مقاول سابق موثوق به. تحتوي الرسالة على ملف مضغوط بتنسيق PDF، يُزعم أنه مرتبط بفرصة تدقيق العقود الذكية. أدى الطلب الروتيني على ما يبدو إلى عواقب وخيمة.
عندما شارك المطور الملف للحصول على تعليقات، أصيبت أجهزة متعددة بفيروس Inletdrift ، وهو برنامج ضار خلفي. مكّن البرنامج الخبيث المهاجمين من مراقبة أنظمة المطورين والتلاعب بها، مما مهد الطريق لاختراق 16 أكتوبر. من خلال إصابة ثلاثة مطورين أساسيين، تمكن المتسللون من الوصول إلى محفظة Radiant متعددة التوقيعات أثناء عملية تعديل الانبعاثات الروتينية.
عملية خادعة
نفذ المهاجمون معاملات احتيالية دون إثارة أي علامات تحذيرية، وذلك بفضل خدعة تخريبية خدعت نظام التحقق Safe{Wallet} الخاص بشركة Radiant. فقد عرضت واجهة المحفظة بيانات المعاملات المشروعة للمطورين، مما أدى إلى إخفاء الأنشطة الضارة التي تحدث في الخلفية.
وكشفت شركة راديانت أن الأموال المسروقة تم سحبها من حسابات المستخدمين عبر الموافقات المفتوحة. وفي بيان لها، أوضحت الشركة:
“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”
نشر المتسللون عقودًا ذكية ضارة عبر شبكات blockchain المتعددة، بما في ذلك Arbitrum و Base و Binance Smart Chain و Ethereum . بمجرد اكتمال السرقة، قاموا بسرعة بإزالة آثار البرامج الضارة وملحقات المتصفح ذات الصلة لتغطية آثارهم.
نسب المسؤولية إلى قراصنة كوريا الشمالية
ونسبت شركة الأمن السيبراني Mandiant ، التي حققت في الاختراق، الهجوم إلى جهة تهديد مدعومة من الدولة الكورية الشمالية تُعرف باسم UNC4736 . وتعمل المجموعة، التي يشار إليها أيضًا باسم AppleJeus أو Citrine Sleet ، تحت إشراف مكتب الاستطلاع العام (RGB) التابع لبيونج يانج، وهي وكالة استخبارات أجنبية. وذكرت Mandiant:
“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”
لدى UNC4736 تاريخ في استهداف منصات العملات المشفرة لتمويل نظام كوريا الشمالية والتهرب من العقوبات الدولية. تشتهر المجموعة باستخدام عروض عمل مزيفة ووثائق خبيثة للتسلل إلى المنظمات، وهو تكتيك انعكس في هجوم Radiant Capital.
التداعيات والدروس المستفادة
وجهت عملية السرقة ضربة قاسية لشركة Radiant Capital، حيث استنزفت سيولتها وألحقت الضرر بثقة المستخدمين. وفي حين عزز المشروع منذ ذلك الحين بروتوكولات الأمان الخاصة به، فإن الحادث يسلط الضوء على نقاط الضعف الكامنة في منصات DeFi.
تتضمن النقاط الرئيسية للمستخدمين والمطورين ما يلي:
- احذر من الهندسة الاجتماعية: تحقق دائمًا من الرسائل غير المتوقعة، وخاصة تلك التي تتضمن عروض عمل أو تنزيلات ملفات.
- تعزيز عمليات التوقيع المتعدد: تعزيز آليات المراجعة للمعاملات متعددة التوقيع للكشف عن الشذوذ المحتمل.
- استثمر في اكتشاف البرامج الضارة: استخدم أدوات الكشف عن التهديدات المتقدمة لتحديد البرامج الضارة الخلفية والتهديدات المعقدة الأخرى.
إن عملية سرقة Radiant Capital هي تذكير صارخ بالتطور المتزايد لمجرمي الإنترنت، وخاصة المجموعات التي ترعاها الدولة مثل UNC4736 في كوريا الشمالية. ومع استمرار نمو نظام DeFi، فإن جاذبيته للجهات الفاعلة التي تسعى إلى الحصول على مدفوعات عالية المخاطر تزداد أيضًا. سيكون تعزيز الدفاعات وتعزيز اليقظة بين المطورين والمستخدمين أمرًا بالغ الأهمية في المعركة الجارية لتأمين التمويل اللامركزي.