שוד הון קורן של 50 מיליון דולר מואשם בהאקרים צפון קוריאנים
בחשיפה מצמררת, פרויקט הפיננסים המבוזר (DeFi) Radiant Capital אישר כי האקרים צפון קוריאנים תזמרו גניבה של 50 מיליון דולר במתקפה מתוחכמת באוקטובר. הפרצה ניצלה תוכנות זדוניות, פרוטוקולים מרובי חתימות ותכסיס הנדסה חברתית ערמומית כדי לגנוב כספים משווקי הליבה, והותירה את הפלטפורמה ואת המשתמשים שלה מבולבלים.
תוכן העניינים
איך התפתחה המתקפה
השוד התחיל עם תוכנית דיוג ממוקדת בספטמבר, על פי דוח הנתיחה שלאחר המוות של Radiant. מפתח קיבל הודעת טלגרם מחשבון שהתחזה לקבלן לשעבר מהימן. ההודעה הכילה קובץ PDF מכווץ, הקשור לכאורה להזדמנות ביקורת חוזים חכמה. הבקשה השגרתית לכאורה הובילה לתוצאות הרסניות.
כאשר המפתח שיתף את הקובץ לקבלת משוב, מכשירים מרובים נדבקו ב- Inletdrift , תוכנה זדונית בדלת אחורית. התוכנית הזדונית אפשרה לתוקפים לנטר ולתמרן את מערכות המפתחים, והנחתה את הבמה לפרצה ב-16 באוקטובר. על ידי הדבקה של שלושה מפתחי ליבה, ההאקרים השיגו גישה לארנק מרובה החתימות של Radiant במהלך תהליך התאמת פליטות שגרתי.
מבצע מטעה
התוקפים ביצעו עסקאות הונאה מבלי להרים דגלים אדומים, הודות לטריק חתרני שהונה את מערכת האימות Safe{Wallet} של Radiant. ממשק הארנק הציג למפתחים נתוני עסקאות לגיטימיים, תוך שהוא מסווה את הפעילויות הזדוניות המתרחשות ברקע.
רדיאנט חשף כי הכספים הגנובים נמשכו מחשבונות משתמש באמצעות אישורים פתוחים. בהצהרה, החברה הסבירה:
“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”
ההאקרים פרסו חוזים חכמים זדוניים ברחבי רשתות בלוקצ'יין מרובות, כולל ארביטראם , בייס , Binance Smart Chain ו- Ethereum . ברגע שהשוד הושלם, הם הסירו במהירות עקבות של התוכנה הזדונית ותוספי דפדפן קשורים כדי לכסות את עקבותיהם.
ייחוס להאקרים צפון קוריאנים
חברת אבטחת הסייבר Mandiant , שחקרה את הפריצה, ייחסה את המתקפה לשחקן איום הנתמך על ידי המדינה הצפון קוריאנית המכונה UNC4736 . הקבוצה, המכונה גם AppleJeus או Citrine Sleet , פועלת תחת הלשכה הכללית לסיירת פיונגיאנג (RGB), סוכנות ביון זרה. מנדיאנט אמר:
“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”
ל-UNC4736 יש היסטוריה של מיקוד לפלטפורמות מטבעות קריפטוגרפיים כדי לממן את המשטר של צפון קוריאה ולהתחמק מסנקציות בינלאומיות. הקבוצה ידועה לשמצה בשימוש בהצעות עבודה מזויפות ובמסמכים זדוניים כדי לחדור לארגונים, טקטיקה המשתקפת במתקפת Radiant Capital.
הנפילה והלקחים שהופקו
השוד הנחיל מכה קשה ל-Radiant Capital, רוקח את הנזילות שלה ופגע באמון המשתמשים. בעוד שהפרויקט חיזק מאז את פרוטוקולי האבטחה שלו, התקרית מדגישה את הפגיעויות הגלומות בפלטפורמות DeFi.
אפשרויות עיקריות למשתמשים ולמפתחים כוללים:
- היזהר מהנדסה חברתית: אמת תמיד הודעות בלתי צפויות, במיוחד אלה הכוללות הצעות עבודה או הורדות קבצים.
- הקשיח את תהליכי ריבוי חתימות: חזק את מנגנוני הבדיקה של עסקאות ריבוי חתימות כדי לזהות חריגות פוטנציאליות.
- השקיעו בזיהוי תוכנות זדוניות: השתמש בכלים מתקדמים לזיהוי איומים כדי לזהות תוכנות זדוניות בדלת אחורית ואיומים מתוחכמים אחרים.
שוד הבירה קורנת הוא תזכורת בולטת לתחכום ההולך וגדל של פושעי סייבר, במיוחד קבוצות בחסות המדינה כמו UNC4736 של צפון קוריאה. ככל שהמערכת האקולוגית של DeFi ממשיכה לצמוח, כך גם הפיתוי שלה עבור שחקני איומים שמחפשים תשלומים עם הימורים גבוהים. חיזוק ההגנות וטיפוח ערנות בקרב מפתחים ומשתמשים יהיו קריטיים בקרב המתמשך לאבטחת מימון מבוזר.