La rapina da 50 milioni di dollari a Radiant Capital è attribuita agli hacker nordcoreani
In una rivelazione agghiacciante, il progetto di finanza decentralizzata (DeFi) Radiant Capital ha confermato che gli hacker nordcoreani hanno orchestrato un furto da 50 milioni di dollari in un sofisticato attacco di ottobre. La violazione ha sfruttato malware, protocolli multi-firma e un astuto stratagemma di ingegneria sociale per sottrarre fondi ai mercati principali, lasciando la piattaforma e i suoi utenti barcollanti.
Sommario
Come si è svolto l'attacco
La rapina è iniziata con uno schema di phishing mirato a settembre, secondo il rapporto post-mortem di Radiant. Uno sviluppatore ha ricevuto un messaggio Telegram da un account che impersonava un ex appaltatore di fiducia. Il messaggio conteneva un file PDF compresso, presumibilmente correlato a un'opportunità di auditing di smart contract. La richiesta apparentemente di routine ha portato a conseguenze devastanti.
Quando lo sviluppatore ha condiviso il file per un feedback, più dispositivi sono stati infettati da Inletdrift , un malware backdoor. Il programma dannoso ha consentito agli aggressori di monitorare e manipolare i sistemi degli sviluppatori, preparando il terreno per la violazione del 16 ottobre. Infettando tre sviluppatori principali, gli hacker hanno ottenuto l'accesso al portafoglio multi-firma di Radiant durante un processo di adeguamento delle emissioni di routine.
Un'operazione ingannevole
Gli aggressori hanno eseguito transazioni fraudolente senza far scattare segnali d'allarme, grazie a un trucco sovversivo che ha ingannato il sistema di verifica Safe{Wallet} di Radiant. L'interfaccia del wallet mostrava dati di transazioni legittime agli sviluppatori, mascherando le attività dannose che si verificavano in background.
Radiant ha rivelato che i fondi rubati sono stati prelevati dagli account degli utenti tramite approvazioni aperte. In una dichiarazione, la società ha spiegato:
“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”
Gli hacker hanno distribuito smart contract dannosi su più reti blockchain, tra cui Arbitrum , Base , Binance Smart Chain ed Ethereum . Una volta completata la rapina, hanno rapidamente rimosso le tracce del malware e delle relative estensioni del browser per coprire le loro tracce.
Attribuzione agli hacker nordcoreani
La società di sicurezza informatica Mandiant , che ha indagato sulla violazione, ha attribuito l'attacco a un threat actor sostenuto dallo stato nordcoreano noto come UNC4736 . Il gruppo, noto anche come AppleJeus o Citrine Sleet , opera sotto il Reconnaissance General Bureau (RGB) di Pyongyang, un'agenzia di intelligence straniera. Mandiant ha affermato:
“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”
UNC4736 ha una storia di attacchi alle piattaforme di criptovaluta per finanziare il regime della Corea del Nord ed eludere le sanzioni internazionali. Il gruppo è tristemente famoso per l'uso di false offerte di lavoro e documenti dannosi per infiltrarsi nelle organizzazioni, una tattica rispecchiata nell'attacco di Radiant Capital.
Le ricadute e le lezioni apprese
La rapina ha inferto un duro colpo a Radiant Capital, prosciugandone la liquidità e danneggiando la fiducia degli utenti. Mentre il progetto ha da allora rafforzato i suoi protocolli di sicurezza, l'incidente evidenzia le vulnerabilità insite nelle piattaforme DeFi.
Gli aspetti principali da tenere a mente per utenti e sviluppatori sono:
- Attenzione all'ingegneria sociale: verifica sempre i messaggi inaspettati, in particolare quelli che riguardano offerte di lavoro o download di file.
- Rafforzare i processi multi-firma: rafforzare i meccanismi di revisione per le transazioni multi-firma per rilevare potenziali anomalie.
- Investi nel rilevamento del malware: utilizza strumenti avanzati di rilevamento delle minacce per identificare malware backdoor e altre minacce sofisticate.
La rapina di Radiant Capital è un duro promemoria della crescente sofisticatezza dei criminali informatici, in particolare dei gruppi sponsorizzati dallo stato come UNC4736 della Corea del Nord. Mentre l'ecosistema DeFi continua a crescere, cresce anche il suo fascino per gli attori delle minacce che cercano pagamenti ad alto rischio. Rafforzare le difese e promuovere la vigilanza tra sviluppatori e utenti sarà fondamentale nella battaglia in corso per proteggere la finanza decentralizzata.