L'atracament de capital radiant de 50 milions de dòlars culpa als pirates informàtics de Corea del Nord
En una revelació esgarrifosa, el projecte de finançament descentralitzat (DeFi) Radiant Capital ha confirmat que els pirates informàtics de Corea del Nord van orquestrar un robatori de 50 milions de dòlars en un sofisticat atac d'octubre. L'incompliment va explotar programari maliciós, protocols de signatura múltiple i una astuta estratagema d'enginyeria social per desviar els fons dels mercats principals, deixant la plataforma i els seus usuaris enfonsats.
Taula de continguts
Com es va desenvolupar l'atac
El atrac va començar amb un esquema de pesca dirigit al setembre, segons l'informe post mortem de Radiant. Un desenvolupador va rebre un missatge de Telegram d'un compte que es feia passar per un antic contractista de confiança. El missatge contenia un fitxer PDF comprimit, suposadament relacionat amb una oportunitat d'auditoria de contracte intel·ligent. La sol·licitud aparentment rutinària va tenir conseqüències devastadores.
Quan el desenvolupador va compartir el fitxer per obtenir comentaris, diversos dispositius es van infectar amb Inletdrift , un programari maliciós de porta posterior. El programa maliciós va permetre als atacants controlar i manipular els sistemes dels desenvolupadors, preparant l'escenari per a la violació del 16 d'octubre. En infectar tres desenvolupadors principals, els pirates informàtics van obtenir accés a la cartera multisignatura de Radiant durant un procés d'ajust de les emissions de rutina.
Una operació enganyosa
Els atacants van executar transaccions fraudulentes sense aixecar banderes vermelles, gràcies a un truc subversiu que va enganyar el sistema de verificació Safe{Wallet} de Radiant. La interfície de la cartera mostrava dades de transaccions legítimes als desenvolupadors, emmascarant les activitats malicioses que es produïen en segon pla.
Radiant va revelar que els fons robats es van retirar dels comptes d'usuari mitjançant aprovacions obertes. En un comunicat, l'empresa va explicar:
“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”
Els pirates informàtics van desplegar contractes intel·ligents maliciosos a diverses xarxes blockchain, incloses Arbitrum , Base , Binance Smart Chain i Ethereum . Un cop completat el robatori, van eliminar ràpidament els rastres del programari maliciós i les extensions del navegador relacionades per cobrir les seves pistes.
Atribució als pirates informàtics de Corea del Nord
La firma de ciberseguretat Mandiant , que va investigar l'incompliment, va atribuir l'atac a un actor d'amenaces recolzat per l'estat de Corea del Nord conegut com UNC4736 . El grup, també conegut com AppleJeus o Citrine Sleet , opera sota l'Oficina General de Reconeixement (RGB) de Pyongyang, una agència d'intel·ligència estrangera. Mandiant va dir:
“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”
UNC4736 té un historial d'orientació a plataformes de criptomoneda per finançar el règim de Corea del Nord i evadir les sancions internacionals. El grup és famós per utilitzar ofertes de treball falses i documents maliciosos per infiltrar-se en organitzacions, una tàctica reflectida en l'atac de Radiant Capital.
La caiguda i les lliçons apreses
El robatori va assolir un dur cop a Radiant Capital, esgotant la seva liquiditat i perjudicant la confiança dels usuaris. Tot i que des de llavors el projecte ha reforçat els seus protocols de seguretat, l'incident posa de manifest les vulnerabilitats inherents a les plataformes DeFi.
Els punts clau per als usuaris i desenvolupadors inclouen:
- Aneu amb compte amb l'enginyeria social: comproveu sempre els missatges inesperats, especialment els que impliquen ofertes de feina o descàrregues de fitxers.
- Endurir els processos de signatura múltiple: reforçar els mecanismes de revisió de les transaccions de signatura múltiple per detectar possibles anomalies.
- Invertiu en detecció de programari maliciós: utilitzeu eines avançades de detecció d'amenaces per identificar programari maliciós de la porta posterior i altres amenaces sofisticades.
El robatori de Radiant Capital és un recordatori de la creixent sofisticació dels cibercriminals, especialment de grups patrocinats per l'estat com l'UNC4736 de Corea del Nord. A mesura que l'ecosistema DeFi continua creixent, també ho fa el seu atractiu per als actors de l'amenaça que busquen pagaments d'alt nivell. Enfortir les defenses i fomentar la vigilància entre desenvolupadors i usuaris serà fonamental en la batalla en curs per assegurar finançament descentralitzat.