Fuga de capital radiantă de 50 de milioane de dolari dat vina pe hackeri nord-coreeni
Într-o revelație înfricoșătoare, proiectul de finanțare descentralizată (DeFi) Radiant Capital a confirmat că hackerii nord-coreeni au orchestrat un furt de 50 de milioane de dolari într-un atac sofisticat din octombrie. Încălcarea a exploatat programe malware, protocoale cu semnături multiple și un truc viclean de inginerie socială pentru a absorbi fonduri de pe piețele de bază, lăsând platforma și utilizatorii săi să se năpădească.
Cuprins
Cum s-a desfășurat atacul
Furtul a început cu o schemă de phishing direcționată în septembrie, conform raportului post-mortem al lui Radiant. Un dezvoltator a primit un mesaj Telegram de la un cont care uzurpa identitatea unui fost contractant de încredere. Mesajul conținea un fișier PDF arhivat, presupus legat de o oportunitate de auditare a unui contract inteligent. Cererea aparent de rutină a dus la consecințe devastatoare.
Când dezvoltatorul a partajat fișierul pentru feedback, mai multe dispozitive au fost infectate cu Inletdrift , un malware de tip backdoor. Programul rău intenționat le-a permis atacatorilor să monitorizeze și să manipuleze sistemele dezvoltatorilor, creând scena pentru încălcarea din 16 octombrie. Infectând trei dezvoltatori de bază, hackerii au obținut acces la portofelul cu semnături multiple de la Radiant în timpul unui proces de rutină de ajustare a emisiilor.
O operațiune înșelătoare
Atacatorii au executat tranzacții frauduloase fără a ridica semnale roșii, datorită unui truc subversiv care a înșelat sistemul de verificare Safe{Wallet} al Radiant. Interfața portofel a afișat dezvoltatorilor date legitime privind tranzacțiile, mascând activitățile rău intenționate care au loc în fundal.
Radiant a dezvăluit că fondurile furate au fost retrase din conturile utilizatorilor prin aprobări deschise. Într-o declarație, compania a explicat:
“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”
Hackerii au implementat contracte inteligente rău intenționate în mai multe rețele blockchain, inclusiv Arbitrum , Base , Binance Smart Chain și Ethereum . Odată ce furtul a fost finalizat, ei au îndepărtat rapid urmele malware-ului și ale extensiilor de browser aferente pentru a-și acoperi urmele.
Atribuire hackerilor nord-coreeni
Firma de securitate cibernetică Mandiant , care a investigat încălcarea, a atribuit atacul unui actor de amenințare susținut de stat nord-coreean, cunoscut sub numele de UNC4736 . Grupul, denumit și AppleJeus sau Citrine Sleet , operează sub Reconnaissance General Bureau (RGB) din Phenian, o agenție de informații străine. Mandiant a declarat:
“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”
UNC4736 are o istorie de a viza platformele de criptomonede pentru a finanța regimul Coreei de Nord și a se sustrage de la sancțiunile internaționale. Grupul este renumit pentru că folosește oferte de locuri de muncă false și documente rău intenționate pentru a se infiltra în organizații, o tactică reflectată în atacul Radiant Capital.
Fallout și lecții învățate
Furtul a dat o lovitură gravă lui Radiant Capital, drenându-i lichiditatea și dăunând încrederii utilizatorilor. În timp ce proiectul și-a consolidat de atunci protocoalele de securitate, incidentul evidențiază vulnerabilitățile inerente platformelor DeFi.
Principalele concluzii pentru utilizatori și dezvoltatori includ:
- Atenție la inginerie socială: verificați întotdeauna mesajele neașteptate, în special cele care implică oferte de muncă sau descărcări de fișiere.
- Întărirea proceselor cu semnături multiple: întăriți mecanismele de revizuire pentru tranzacțiile cu semnături multiple pentru a detecta eventualele anomalii.
- Investiți în detectarea programelor malware: utilizați instrumente avansate de detectare a amenințărilor pentru a identifica programele malware de tip backdoor și alte amenințări sofisticate.
Furtul Radiant Capital este o reamintire clară a sofisticarii tot mai mari a criminalilor cibernetici, în special a grupurilor sponsorizate de stat, cum ar fi UNC4736 din Coreea de Nord. Pe măsură ce ecosistemul DeFi continuă să crească, la fel crește și atractivitatea pentru actorii amenințărilor care caută plăți cu mize mari. Consolidarea apărării și stimularea vigilenței în rândul dezvoltatorilor și utilizatorilor vor fi esențiale în lupta continuă pentru asigurarea finanțării descentralizate.