$50 millioner Radiant Capital Heist skylden på nordkoreanske hackere

I en skremmende avsløring har Radiant Capital-prosjektet for desentralisert finans (DeFi) bekreftet at nordkoreanske hackere orkestrerte et tyveri på 50 millioner dollar i et sofistikert angrep i oktober. Bruddet utnyttet skadelig programvare, protokoller med flere signaturer og et utspekulert sosialt ingeniørtriks for å suge av midler fra kjernemarkedene, og etterlot plattformen og dens brukere.

Hvordan angrepet utviklet seg

Røveriet begynte med et målrettet phishing-opplegg i september, ifølge Radiants post mortem-rapport. En utvikler mottok en Telegram-melding fra en konto som utgir seg for å være en pålitelig tidligere entreprenør. Meldingen inneholdt en zippet PDF-fil, angivelig relatert til en smart kontraktsrevisjonsmulighet. Den tilsynelatende rutinemessige forespørselen førte til ødeleggende konsekvenser.

Da utvikleren delte filen for tilbakemelding, ble flere enheter infisert med Inletdrift , en bakdørs malware. Det ondsinnede programmet gjorde det mulig for angripere å overvåke og manipulere utviklernes systemer, og satte scenen for bruddet 16. oktober. Ved å infisere tre kjerneutviklere, fikk hackerne tilgang til Radiants multisignatur-lommebok under en rutinemessig justering av utslipp.

En villedende operasjon

Angriperne utførte uredelige transaksjoner uten å heve røde flagg, takket være et subversivt triks som lurte Radiants Safe{Wallet}-verifiseringssystem. Lommebokgrensesnittet viste legitime transaksjonsdata til utviklere, og maskerte de ondsinnede aktivitetene som skjedde i bakgrunnen.

Radiant avslørte at de stjålne midlene ble trukket fra brukerkontoer via åpne godkjenninger. I en uttalelse forklarte selskapet:

“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”

Hackerne distribuerte ondsinnede smarte kontrakter på tvers av flere blokkjedenettverk, inkludert Arbitrum , Base , Binance Smart Chain og Ethereum . Når ranet var fullført, fjernet de raskt spor av skadelig programvare og relaterte nettleserutvidelser for å dekke sporene deres.

Attribusjon til nordkoreanske hackere

Nettsikkerhetsfirmaet Mandiant , som undersøkte bruddet, tilskrev angrepet til en nordkoreansk statsstøttet trusselaktør kjent som UNC4736 . Gruppen, også referert til som AppleJeus eller Citrine Sleet , opererer under Pyongyangs Reconnaissance General Bureau (RGB), et utenlandsk etterretningsbyrå. Mandiant uttalte:

“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”

UNC4736 har en historie med å målrette kryptovalutaplattformer for å finansiere Nord-Koreas regime og unngå internasjonale sanksjoner. Gruppen er beryktet for å bruke falske jobbtilbud og ondsinnede dokumenter for å infiltrere organisasjoner, en taktikk som gjenspeiles i Radiant Capital-angrepet.

Nedfallet og lærdommene

Røveriet ga Radiant Capital et hardt slag, tappet likviditeten og skadet brukertilliten. Mens prosjektet siden har styrket sine sikkerhetsprotokoller, fremhever hendelsen sårbarhetene som ligger i DeFi-plattformene.

Viktige takeaways for brukere og utviklere inkluderer:

1. Pass på sosial teknikk: Bekreft alltid uventede meldinger, spesielt de som involverer jobbtilbud eller filnedlastinger.
2. Herde multisignaturprosesser: Styrk gjennomgangsmekanismene for multisignaturtransaksjoner for å oppdage potensielle anomalier.
3. Invester i deteksjon av skadelig programvare: Bruk avanserte trusseldeteksjonsverktøy for å identifisere bakdørs skadelig programvare og andre sofistikerte trusler.

The Radiant Capital heist er en sterk påminnelse om den økende sofistikeringen til nettkriminelle, spesielt statsstøttede grupper som Nord-Koreas UNC4736. Ettersom DeFi-økosystemet fortsetter å vokse, øker også dets tiltrekning for trusselaktører som søker utbetalinger med høy innsats. Å styrke forsvaret og fremme årvåkenhet blant utviklere og brukere vil være avgjørende i den pågående kampen for å sikre desentralisert finans.