سرقت 50 میلیون دلاری سرمایه تابشی به گردن هکرهای کره شمالی است

در یک افشاگری وحشتناک، پروژه مالی غیرمتمرکز (DeFi) Radiant Capital تایید کرد که هکرهای کره شمالی یک سرقت 50 میلیون دلاری را در یک حمله پیچیده اکتبر ترتیب دادند. این رخنه از بدافزارها، پروتکل‌های چند امضایی و یک ترفند مهندسی اجتماعی حیله‌گر برای حذف سرمایه‌ها از بازارهای اصلی بهره‌برداری کرد و پلتفرم و کاربران آن را در سردرگمی قرار داد.

چگونه حمله آشکار شد

بر اساس گزارش پس از مرگ Radiant، این سرقت با یک طرح فیشینگ هدفمند در ماه سپتامبر آغاز شد. یک توسعه‌دهنده یک پیام تلگرامی از یک حساب کاربری دریافت کرد که جعل هویت یک پیمانکار مورد اعتماد سابق بود. این پیام حاوی یک فایل PDF فشرده شده بود که ظاهراً مربوط به فرصت حسابرسی قرارداد هوشمند است. این درخواست به ظاهر معمولی منجر به عواقب ویرانگری شد.

هنگامی که توسعه‌دهنده فایل را برای بازخورد به اشتراک گذاشت، چندین دستگاه به Inletdrift ، یک بدافزار در پشتی آلوده شدند. این برنامه مخرب مهاجمان را قادر می‌سازد تا سیستم‌های توسعه‌دهندگان را نظارت و دستکاری کنند و زمینه را برای نقض 16 اکتبر فراهم کند. هکرها با آلوده کردن سه توسعه‌دهنده اصلی، به کیف پول چند امضایی Radiant در طی یک فرآیند معمول تنظیم آلاینده‌ها دسترسی پیدا کردند.

یک عملیات فریبنده

مهاجمان به لطف یک ترفند خرابکارانه که سیستم راستی‌آزمایی Safe{Wallet} Radiant را فریب داد، تراکنش‌های جعلی را بدون برافراشتن پرچم‌های قرمز انجام دادند. رابط کیف پول داده‌های تراکنش قانونی را به توسعه‌دهندگان نمایش می‌دهد و فعالیت‌های مخربی را که در پس‌زمینه رخ می‌دهند پنهان می‌کند.

Radiant فاش کرد که وجوه دزدیده شده از حساب های کاربری از طریق تاییدیه های باز برداشت شده است. این شرکت در بیانیه ای توضیح داد:

“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”

هکرها قراردادهای هوشمند مخرب را در چندین شبکه بلاک چین از جمله Arbitrum ، Base ، Binance Smart Chain و Ethereum مستقر کردند. هنگامی که سرقت کامل شد، آنها به سرعت آثار بدافزار و افزونه های مرورگر مربوطه را حذف کردند تا ردیابی آنها را بپوشانند.

انتساب به هکرهای کره شمالی

شرکت امنیت سایبری Mandiant که این نقض را بررسی می‌کند، این حمله را به یک عامل تهدید تحت حمایت دولت کره شمالی معروف به UNC4736 نسبت می‌دهد. این گروه که AppleJeus یا Citrine Sleet نیز نامیده می شود، زیر نظر اداره عمومی شناسایی پیونگ یانگ (RGB)، یک آژانس اطلاعاتی خارجی، فعالیت می کند. ماندانت بیان کرد:

“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”

UNC4736 سابقه هدف قرار دادن پلتفرم های ارزهای دیجیتال برای تامین مالی رژیم کره شمالی و دور زدن تحریم های بین المللی را دارد. این گروه به دلیل استفاده از پیشنهادات شغلی جعلی و اسناد مخرب برای نفوذ به سازمان ها بدنام است، تاکتیکی که در حمله Radiant Capital منعکس شده است.

Fallout و درس های آموخته شده

این سرقت ضربه شدیدی به سرمایه تابشی وارد کرد و نقدینگی آن را تخلیه کرد و به اعتماد کاربران آسیب زد. در حالی که پروژه از آن زمان پروتکل های امنیتی خود را تقویت کرده است، این حادثه آسیب پذیری های ذاتی در پلتفرم های DeFi را برجسته می کند.

نکات کلیدی برای کاربران و توسعه دهندگان عبارتند از:

1. مراقب مهندسی اجتماعی باشید: همیشه پیام‌های غیرمنتظره، به‌ویژه پیام‌های مربوط به پیشنهادهای شغلی یا دانلود فایل را تأیید کنید.
2. فرآیندهای چند امضایی را سخت کنید: مکانیسم های بازبینی تراکنش های چند امضایی را برای شناسایی ناهنجاری های احتمالی تقویت کنید.
3. در شناسایی بدافزار سرمایه گذاری کنید: از ابزارهای پیشرفته تشخیص تهدید برای شناسایی بدافزارهای پشتی و سایر تهدیدات پیچیده استفاده کنید.

دزدی سرمایه تابشی یادآور پیچیدگی روزافزون مجرمان سایبری، به‌ویژه گروه‌های تحت حمایت دولت مانند UNC4736 کره شمالی است. همانطور که اکوسیستم DeFi به رشد خود ادامه می دهد، جذابیت آن برای بازیگران تهدید که به دنبال پرداخت های پرمخاطره هستند نیز افزایش می یابد. تقویت سیستم دفاعی و تقویت هوشیاری در میان توسعه دهندگان و کاربران در نبرد جاری برای تامین مالی غیرمتمرکز حیاتی خواهد بود.