В краже Radiant Capital на сумму 50 миллионов долларов обвиняют северокорейских хакеров

В леденящем душу откровении проект децентрализованного финансирования (DeFi) Radiant Capital подтвердил, что северокорейские хакеры организовали кражу $50 млн в ходе сложной атаки в октябре. Взлом использовал вредоносное ПО, протоколы мультиподписи и хитрый прием социальной инженерии для вывода средств с основных рынков, оставив платформу и ее пользователей в замешательстве.

Как разворачивалась атака

Согласно отчету Radiant по результатам вскрытия, ограбление началось с целенаправленной фишинговой схемы в сентябре. Разработчик получил сообщение в Telegram от учетной записи, выдававшей себя за доверенного бывшего подрядчика. Сообщение содержало заархивированный PDF-файл, предположительно связанный с возможностью аудита смарт-контракта. Казалось бы, обычный запрос привел к разрушительным последствиям.

Когда разработчик поделился файлом для обратной связи, несколько устройств были заражены Inletdrift , вредоносным бэкдором. Вредоносная программа позволила злоумышленникам отслеживать и манипулировать системами разработчиков, подготовив почву для взлома 16 октября. Заразив трех основных разработчиков, хакеры получили доступ к кошельку Radiant с несколькими подписями во время обычного процесса корректировки выбросов.

Обманная операция

Злоумышленники проводили мошеннические транзакции, не поднимая красные флажки, благодаря подрывному трюку, который обманывал систему проверки Radiant Safe{Wallet}. Интерфейс кошелька отображал разработчикам данные о легитимных транзакциях, маскируя вредоносную деятельность, происходящую в фоновом режиме.

Radiant раскрыл, что украденные средства были сняты со счетов пользователей через открытые одобрения. В заявлении компания пояснила:

“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”

Хакеры развернули вредоносные смарт-контракты в нескольких сетях блокчейнов, включая Arbitrum , Base , Binance Smart Chain и Ethereum . После завершения ограбления они быстро удалили следы вредоносного ПО и связанных с ним расширений браузера, чтобы скрыть свои следы.

Приписывание себя северокорейским хакерам

Компания по кибербезопасности Mandiant , которая расследовала взлом, приписала атаку северокорейскому государственному субъекту угроз, известному как UNC4736 . Группа, также известная как AppleJeus или Citrine Sleet , действует под руководством Пхеньянского разведывательного генерального бюро (RGB), агентства внешней разведки. Mandiant заявила:

“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”

UNC4736 имеет историю атак на криптовалютные платформы для финансирования режима Северной Кореи и обхода международных санкций. Группа печально известна тем, что использует поддельные предложения о работе и вредоносные документы для проникновения в организации, тактика, отраженная в атаке Radiant Capital.

Последствия и извлеченные уроки

Ограбление нанесло серьезный удар по Radiant Capital, истощив его ликвидность и подорвав доверие пользователей. Хотя с тех пор проект усилил свои протоколы безопасности, инцидент выявил уязвимости, присущие платформам DeFi.

Ключевые выводы для пользователей и разработчиков включают в себя:

1. Остерегайтесь социальной инженерии: всегда проверяйте неожиданные сообщения, особенно те, которые содержат предложения о работе или загрузке файлов.
2. Усиление процессов с множественной подписью: усиление механизмов проверки транзакций с множественной подписью для выявления потенциальных аномалий.
3. Инвестируйте в обнаружение вредоносных программ: используйте передовые инструменты обнаружения угроз для выявления вредоносных программ-бэкдоров и других сложных угроз.

Ограбление Radiant Capital — яркое напоминание о растущей изощренности киберпреступников, особенно спонсируемых государством групп, таких как северокорейская UNC4736. По мере того, как экосистема DeFi продолжает расти, растет и ее привлекательность для злоумышленников, ищущих выплаты с высокими ставками. Усиление защиты и повышение бдительности среди разработчиков и пользователей будут иметь решающее значение в продолжающейся битве за безопасность децентрализованных финансов.