50 millió dolláros sugárzó tőkerablásért az észak-koreai hackereket okolják

Dermesztő leleplezésként a decentralizált pénzügyi (DeFi) projekt, a Radiant Capital megerősítette, hogy észak-koreai hackerek 50 millió dolláros lopást szerveztek egy kifinomult októberi támadás során. A jogsértés rosszindulatú programokat, több aláírást tartalmazó protokollokat és egy ravasz szociális tervezési trükköt használt ki, hogy elszívja a forrásokat az alapvető piacokról, így a platform és a felhasználók megzavarodtak.

Hogyan bontakozott ki a támadás

A Radiant hullás utáni jelentése szerint a rablás egy célzott adathalász rendszerrel kezdődött szeptemberben. Egy fejlesztő Telegram-üzenetet kapott egy fióktól, amely egy megbízható korábbi vállalkozónak adja ki magát. Az üzenet egy tömörített PDF-fájlt tartalmazott, amely állítólag egy intelligens szerződés-auditálási lehetőséghez kapcsolódik. A rutinszerűnek tűnő kérés pusztító következményekkel járt.

Amikor a fejlesztő megosztotta a fájlt visszajelzés céljából, több eszköz is megfertőződött az Inletdrifttel , egy hátsóajtós kártevővel. A rosszindulatú program lehetővé tette a támadók számára, hogy felügyeljék és manipulálják a fejlesztők rendszereit, ezzel előkészítve a terepet az október 16-i incidenshez. Három fő fejlesztő megfertőzésével a hackerek hozzáfértek a Radiant több aláírást tartalmazó pénztárcájához egy rutin kibocsátási beállítási folyamat során.

Megtévesztő művelet

A támadók csalárd tranzakciókat hajtottak végre anélkül, hogy piros zászlót emeltek volna, köszönhetően egy felforgató trükknek, amely megtévesztette a Radiant Safe{Wallet} ellenőrző rendszerét. A pénztárca felület legitim tranzakciós adatokat jelenített meg a fejlesztők számára, elfedve a háttérben előforduló rosszindulatú tevékenységeket.

A Radiant nyilvánosságra hozta, hogy az ellopott pénzeszközöket nyílt jóváhagyással vonták ki a felhasználói számlákról. A cég közleményében kifejtette:

“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”

A hackerek rosszindulatú intelligens szerződéseket telepítettek több blokklánc-hálózaton, köztük az Arbitrumon , a Base-en , a Binance Smart Chain-en és az Ethereumon . Miután a rablás befejeződött, gyorsan eltávolították a rosszindulatú program nyomait és a kapcsolódó böngészőbővítményeket, hogy elfedjék a nyomaikat.

Az észak-koreai hackereknek való tulajdonítás

A Mandiant kiberbiztonsági cég, amely a jogsértést vizsgálta, a támadást az UNC4736 néven ismert észak-koreai állam által támogatott fenyegetés szereplőjének tulajdonította. Az AppleJeus vagy Citrine Sleet néven is emlegetett csoport a Phenjan Reconnaissance General Bureau (RGB) külföldi hírszerző ügynöksége alatt működik. Mandiant kijelentette:

“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”

Az UNC4736 már régóta célzott kriptovaluta platformokat Észak-Korea rezsimjének finanszírozására és a nemzetközi szankciók kijátszására. A csoport hírhedt arról, hogy hamis állásajánlatokat és rosszindulatú dokumentumokat használt fel a szervezetekbe való beszivárgásra, ez a taktika tükröződik a Radiant Capital támadásban is.

A bukás és a tanulságok

A rablás súlyos csapást mért a Radiant Capitalra, kimerítette likviditását és rontotta a felhasználók bizalmát. Míg a projekt azóta megerősítette biztonsági protokolljait, az incidens rávilágít a DeFi platformokban rejlő sebezhetőségekre.

A felhasználók és a fejlesztők számára a következők a legfontosabbak:

1. Óvakodjon a Social Engineeringtől: Mindig ellenőrizze a váratlan üzeneteket, különösen azokat, amelyek állásajánlatokkal vagy fájlletöltésekkel kapcsolatosak.
2. Több aláírási folyamat szigorítása: A több aláírást igénylő tranzakciók felülvizsgálati mechanizmusainak megerősítése a lehetséges rendellenességek észlelése érdekében.
3. Fektessen be a rosszindulatú programok észlelésébe: Használjon fejlett fenyegetésészlelő eszközöket a hátsó ajtóban működő rosszindulatú programok és más kifinomult fenyegetések azonosítására.

A Radiant Capital rablása éles emlékeztető a kiberbűnözők egyre kifinomultabbá válására, különösen az olyan államilag támogatott csoportokra, mint az észak-koreai UNC4736. Ahogy a DeFi ökoszisztéma tovább növekszik, úgy növekszik vonzereje a nagy téteket kereső fenyegetett szereplők számára. A védekezés megerősítése, valamint a fejlesztők és a felhasználók éberségének előmozdítása kritikus fontosságú lesz a decentralizált finanszírozás biztosításáért folyó küzdelemben.