50 milionów dolarów napadu na Radiant Capital Heist obwinia się północnokoreańskich hakerów
W przerażającym odkryciu projekt zdecentralizowanych finansów (DeFi) Radiant Capital potwierdził, że północnokoreańscy hakerzy zorganizowali kradzież 50 milionów dolarów w wyrafinowanym ataku w październiku. Włamanie wykorzystało złośliwe oprogramowanie, protokoły multi-signature i przebiegłą sztuczkę inżynierii społecznej, aby wyprowadzić fundusze z głównych rynków, pozostawiając platformę i jej użytkowników w szoku.
Spis treści
Jak przebiegał atak
Według raportu Radiant z autopsji, napad rozpoczął się od ukierunkowanego phishingu we wrześniu. Deweloper otrzymał wiadomość Telegram z konta podszywającego się pod zaufanego byłego kontrahenta. Wiadomość zawierała spakowany plik PDF, rzekomo związany z możliwością audytu inteligentnych kontraktów. Pozornie rutynowe żądanie doprowadziło do katastrofalnych konsekwencji.
Gdy deweloper udostępnił plik w celu uzyskania opinii, wiele urządzeń zostało zainfekowanych Inletdriftem , złośliwym oprogramowaniem typu backdoor. Złośliwy program umożliwił atakującym monitorowanie i manipulowanie systemami deweloperów, co przygotowało grunt pod włamanie 16 października. Zarażając trzech głównych deweloperów, hakerzy uzyskali dostęp do portfela multi-signature Radiant podczas rutynowego procesu dostosowywania emisji.
Oszukańcza operacja
Atakujący wykonywali oszukańcze transakcje bez wzbudzania podejrzeń, dzięki podstępnemu trikowi, który oszukał system weryfikacji Safe{Wallet} Radiant. Interfejs portfela wyświetlał deweloperom legalne dane transakcji, maskując złośliwe działania zachodzące w tle.
Radiant ujawnił, że skradzione środki zostały wypłacone z kont użytkowników za pośrednictwem otwartych zatwierdzeń. W oświadczeniu firma wyjaśniła:
“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”
Hakerzy wdrożyli złośliwe inteligentne kontrakty w wielu sieciach blockchain, w tym Arbitrum , Base , Binance Smart Chain i Ethereum . Po zakończeniu napadu szybko usunęli ślady złośliwego oprogramowania i powiązanych rozszerzeń przeglądarki, aby zatrzeć ślady.
Przypisanie do północnokoreańskich hakerów
Firma zajmująca się cyberbezpieczeństwem Mandiant , która badała naruszenie, przypisała atak północnokoreańskiemu państwowemu aktorowi zagrożeń znanemu jako UNC4736 . Grupa, znana również jako AppleJeus lub Citrine Sleet , działa pod auspicjami Pjongjang Reconnaissance General Bureau (RGB), zagranicznej agencji wywiadowczej. Mandiant oświadczył:
“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”
UNC4736 ma historię atakowania platform kryptowalutowych w celu finansowania reżimu Korei Północnej i unikania międzynarodowych sankcji. Grupa jest znana z wykorzystywania fałszywych ofert pracy i złośliwych dokumentów do infiltracji organizacji, taktyki odzwierciedlonej w ataku na Radiant Capital.
Skutki i wyciągnięte wnioski
Napad zadał poważny cios Radiant Capital, osuszając jego płynność i niszcząc zaufanie użytkowników. Chociaż projekt wzmocnił swoje protokoły bezpieczeństwa, incydent uwypukla luki w zabezpieczeniach platform DeFi.
Najważniejsze wnioski dla użytkowników i deweloperów:
- Uważaj na socjotechnikę: Zawsze weryfikuj nieoczekiwane wiadomości, zwłaszcza te zawierające oferty pracy lub dotyczące pobierania plików.
- Wzmocnienie procesów obejmujących podpisy wielokrotne: Wzmocnienie mechanizmów przeglądu transakcji obejmujących podpisy wielokrotne w celu wykrycia potencjalnych anomalii.
- Zainwestuj w wykrywanie złośliwego oprogramowania: Korzystaj z zaawansowanych narzędzi do wykrywania zagrożeń, aby identyfikować złośliwe oprogramowanie typu backdoor i inne zaawansowane zagrożenia.
Napad na Radiant Capital jest jaskrawym przypomnieniem rosnącego wyrafinowania cyberprzestępców, w szczególności grup sponsorowanych przez państwo, takich jak UNC4736 z Korei Północnej. Wraz z rozwojem ekosystemu DeFi rośnie również jego atrakcyjność dla aktorów zagrożeń poszukujących wypłat o wysokiej stawce. Wzmocnienie obrony i wzbudzenie czujności wśród deweloperów i użytkowników będzie miało kluczowe znaczenie w trwającej walce o zabezpieczenie zdecentralizowanych finansów.