Обир на Radiant Capital за $50 милиона, обвинен за севернокорейски хакери

В смразяващо разкритие проектът за децентрализирано финансиране (DeFi) Radiant Capital потвърди, че севернокорейски хакери са организирали кражба на 50 милиона долара при сложна атака през октомври. Пробивът използва злонамерен софтуер, протоколи с множество подписи и коварен трик за социално инженерство за източване на средства от основните пазари, оставяйки платформата и нейните потребители да се объркат.

Как се разви атаката

Обирът е започнал с целенасочена схема за фишинг през септември, според доклада на Radiant след смъртта. Разработчик получи съобщение в Telegram от акаунт, представящ се за доверен бивш изпълнител. Съобщението съдържа компресиран PDF файл, за който се предполага, че е свързан с възможност за одит на интелигентен договор. Привидно рутинното искане доведе до пагубни последици.

Когато разработчикът сподели файла за обратна връзка, множество устройства се заразиха с Inletdrift , злонамерен софтуер със задна врата. Злонамерената програма позволи на нападателите да наблюдават и манипулират системите на разработчиците, подготвяйки сцената за пробива от 16 октомври. Като заразиха трима основни разработчици, хакерите получиха достъп до портфейла с множество подписи на Radiant по време на рутинен процес на коригиране на емисиите.

Измамна операция

Нападателите са извършили измамни транзакции, без да сигнализират, благодарение на подривен трик, който е измамил системата за проверка Safe{Wallet} на Radiant. Интерфейсът на портфейла показва легитимни данни за транзакции на разработчиците, маскирайки злонамерените дейности, извършващи се във фонов режим.

Radiant разкри, че откраднатите средства са били изтеглени от потребителски акаунти чрез отворени одобрения. В изявление компанията обясни:

“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”

Хакерите внедриха злонамерени интелигентни договори в множество блокчейн мрежи, включително Arbitrum , Base , Binance Smart Chain и Ethereum . След като обирът приключи, те бързо премахнаха следите от злонамерения софтуер и свързаните с него разширения на браузъра, за да прикрият следите си.

Приписване на севернокорейските хакери

Фирмата за киберсигурност Mandiant , която разследва пробива, приписва атаката на подкрепян от държавата заплаха от Северна Корея, известен като UNC4736 . Групата, наричана още AppleJeus или Citrine Sleet , действа под ръководството на Генералното разузнавателно бюро (RGB) на Пхенян, чуждестранна разузнавателна агенция. Mandiant заяви:

“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”

UNC4736 има история на насочване към платформи за криптовалута за финансиране на режима на Северна Корея и избягване на международни санкции. Групата е известна с използването на фалшиви предложения за работа и злонамерени документи, за да проникне в организации, тактика, отразена в атаката на Radiant Capital.

Последствията и извлечените уроци

Обирът нанесе сериозен удар на Radiant Capital, изтощавайки ликвидността му и накърнявайки доверието на потребителите. Въпреки че оттогава проектът е укрепил своите протоколи за сигурност, инцидентът подчертава уязвимостите, присъщи на платформите DeFi.

Ключовите изводи за потребителите и разработчиците включват:

1. Пазете се от социалното инженерство: Винаги проверявайте неочакваните съобщения, особено тези, които включват предложения за работа или изтегляне на файлове.
2. Укрепете процесите с множество подписи: Укрепете механизмите за преглед на транзакции с множество подписи за откриване на потенциални аномалии.
3. Инвестирайте в откриване на злонамерен софтуер: Използвайте усъвършенствани инструменти за откриване на заплахи, за да идентифицирате злонамерен софтуер със задна врата и други сложни заплахи.

Обирът на Radiant Capital е ярко напомняне за нарастващата сложност на киберпрестъпниците, особено спонсорираните от държавата групи като севернокорейската UNC4736. Тъй като екосистемата на DeFi продължава да расте, нараства и нейната привлекателност за участниците в заплахи, които търсят печалби с високи залози. Укрепването на защитите и насърчаването на бдителността сред разработчиците и потребителите ще бъде от решаващо значение в продължаващата битка за осигуряване на децентрализирано финансиране.