Overval van $50 miljoen op Radiant Capital wordt toegeschreven aan Noord-Koreaanse hackers

In een huiveringwekkende onthulling heeft het decentrale financiële (DeFi) project Radiant Capital bevestigd dat Noord-Koreaanse hackers een diefstal van $ 50 miljoen hebben georkestreerd in een geavanceerde aanval in oktober. De inbreuk maakte gebruik van malware, multi-signature protocollen en een sluwe social engineering truc om fondsen van kernmarkten af te snoepen, waardoor het platform en zijn gebruikers in de war raakten.

Hoe de aanval zich ontvouwde

De overval begon in september met een gerichte phishing-truc, aldus Radiant's post-mortemrapport. Een ontwikkelaar ontving een Telegram-bericht van een account dat zich voordeed als een vertrouwde voormalige contractant. Het bericht bevatte een gezipt PDF-bestand, naar verluidt gerelateerd aan een mogelijkheid voor het controleren van slimme contracten. Het ogenschijnlijk routinematige verzoek leidde tot verwoestende gevolgen.

Toen de ontwikkelaar het bestand deelde voor feedback, raakten meerdere apparaten geïnfecteerd met Inletdrift , een backdoor-malware. Het schadelijke programma stelde aanvallers in staat om de systemen van de ontwikkelaars te monitoren en te manipuleren, wat de basis legde voor de inbreuk op 16 oktober. Door drie kernontwikkelaars te infecteren, kregen de hackers toegang tot Radiant's multi-signature wallet tijdens een routinematig emissieaanpassingsproces.

Een misleidende operatie

De aanvallers voerden frauduleuze transacties uit zonder rode vlaggen te laten oplichten, dankzij een subversieve truc die het Safe{Wallet} verificatiesysteem van Radiant om de tuin leidde. De wallet-interface toonde legitieme transactiegegevens aan ontwikkelaars, waardoor de kwaadaardige activiteiten die op de achtergrond plaatsvonden, werden gemaskeerd.

Radiant maakte bekend dat de gestolen fondsen van gebruikersaccounts werden afgeschreven via open goedkeuringen. In een verklaring legde het bedrijf uit:

“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”

De hackers hebben kwaadaardige smart contracts ingezet in meerdere blockchainnetwerken, waaronder Arbitrum , Base , Binance Smart Chain en Ethereum . Nadat de overval was voltooid, hebben ze snel sporen van de malware en gerelateerde browserextensies verwijderd om hun sporen te wissen.

Toeschrijving aan Noord-Koreaanse hackers

Het cybersecuritybedrijf Mandiant , dat de inbreuk onderzocht, schreef de aanval toe aan een door de Noord-Koreaanse staat gesteunde dreigingsactor, bekend als UNC4736 . De groep, ook wel AppleJeus of Citrine Sleet genoemd, opereert onder het Reconnaissance General Bureau (RGB) van Pyongyang, een buitenlandse inlichtingendienst. Mandiant verklaarde:

“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”

UNC4736 heeft een geschiedenis van het targeten van cryptocurrency-platforms om het regime van Noord-Korea te financieren en internationale sancties te ontwijken. De groep is berucht om het gebruik van valse jobaanbiedingen en kwaadaardige documenten om organisaties te infiltreren, een tactiek die werd weerspiegeld in de Radiant Capital-aanval.

De gevolgen en de lessen die we hebben geleerd

De overval was een zware klap voor Radiant Capital, die zijn liquiditeit wegtrok en het vertrouwen van gebruikers schaadde. Hoewel het project sindsdien zijn beveiligingsprotocollen heeft versterkt, benadrukt het incident de kwetsbaarheden die inherent zijn aan DeFi-platforms.

De belangrijkste punten voor gebruikers en ontwikkelaars zijn:

1. Pas op voor social engineering: controleer altijd onverwachte berichten, vooral berichten over vacatures of het downloaden van bestanden.
2. Versterk processen voor transacties met meerdere handtekeningen: versterk de beoordelingsmechanismen voor transacties met meerdere handtekeningen om mogelijke afwijkingen te detecteren.
3. Investeer in malwaredetectie: gebruik geavanceerde tools voor bedreigingsdetectie om backdoor-malware en andere geavanceerde bedreigingen te identificeren.

De overval op Radiant Capital is een grimmige herinnering aan de groeiende verfijning van cybercriminelen, met name door de staat gesponsorde groepen zoals Noord-Korea's UNC4736. Naarmate het DeFi-ecosysteem blijft groeien, groeit ook de aantrekkingskracht ervan voor dreigingsactoren die op zoek zijn naar hoge inzetten. Het versterken van verdedigingen en het bevorderen van waakzaamheid onder ontwikkelaars en gebruikers zal van cruciaal belang zijn in de voortdurende strijd om gedecentraliseerde financiering veilig te stellen.