Za 50-milijonski rop Radiant Capital so krivi severnokorejski hekerji

V srhljivem razkritju je projekt decentraliziranih financ (DeFi) Radiant Capital potrdil, da so severnokorejski hekerji v prefinjenem oktobrskem napadu orkestrirali krajo 50 milijonov dolarjev. Kršitev je izkoriščala zlonamerno programsko opremo, protokole z več podpisi in zvito zvijačo socialnega inženiringa za črpanje sredstev z osrednjih trgov, zaradi česar so platforma in njeni uporabniki ostali v težavah.

Kako se je napad odvil

Rop se je začel s ciljano shemo lažnega predstavljanja septembra, glede na poročilo o obdukciji Radianta. Razvijalec je prejel sporočilo Telegram iz računa, ki je predstavljal zaupanja vrednega nekdanjega izvajalca. Sporočilo je vsebovalo stisnjeno datoteko PDF, ki naj bi bila povezana z možnostjo revizije pametnih pogodb. Na videz rutinska zahteva je povzročila uničujoče posledice.

Ko je razvijalec delil datoteko za povratne informacije, se je več naprav okužilo z Inletdrift , zlonamerno programsko opremo za zakulisna vrata. Zlonamerni program je napadalcem omogočil nadzor in manipulacijo sistemov razvijalcev, s čimer je bil pripravljen temelj za vdor 16. oktobra. Z okužbo treh glavnih razvijalcev so hekerji pridobili dostop do Radiantove denarnice z več podpisi med rutinskim postopkom prilagajanja emisij.

Zavajajoča operacija

Napadalci so izvajali goljufive transakcije, ne da bi opozorili, zahvaljujoč subverzivnemu triku, ki je prevaral Radiantov sistem za preverjanje Safe{Wallet}. Vmesnik denarnice je razvijalcem prikazal zakonite transakcijske podatke in prikril zlonamerne dejavnosti, ki so se dogajale v ozadju.

Radiant je razkril, da so bila ukradena sredstva dvignjena z uporabniških računov prek odprtih odobritev. V izjavi je družba pojasnila:

“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”

Hekerji so uvedli zlonamerne pametne pogodbe v več omrežjih blockchain, vključno z Arbitrum , Base , Binance Smart Chain in Ethereum . Ko je bil rop končan, so hitro odstranili sledi zlonamerne programske opreme in povezanih razširitev brskalnika, da bi prikrili sledi.

Pripisovanje severnokorejskim hekerjem

Podjetje za kibernetsko varnost Mandiant , ki je preiskovalo kršitev, je napad pripisalo severnokorejskemu državnemu akterju grožnje, znanemu kot UNC4736 . Skupina, imenovana tudi AppleJeus ali Citrine Sleet , deluje v okviru Pjongjangovega glavnega izvidniškega urada (RGB), tuje obveščevalne agencije. Mandiant je izjavil:

“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”

UNC4736 ima zgodovino ciljanja na platforme kriptovalut za financiranje režima Severne Koreje in izogibanje mednarodnim sankcijam. Skupina je razvpita po uporabi lažnih ponudb za delo in zlonamernih dokumentov za infiltracijo v organizacije, taktika, ki se odraža v napadu Radiant Capital.

Izpad in pridobljene lekcije

Rop je zadal hud udarec Radiant Capitalu, izčrpal njegovo likvidnost in omajal zaupanje uporabnikov. Medtem ko je projekt od takrat okrepil svoje varnostne protokole, incident poudarja ranljivosti, ki so del platform DeFi.

Ključni zaključki za uporabnike in razvijalce vključujejo:

1. Pazite se socialnega inženiringa: vedno preverite nepričakovana sporočila, zlasti tista, ki vključujejo ponudbe za delo ali prenose datotek.
2. Okrepite procese z več podpisi: Okrepite mehanizme pregleda za transakcije z več podpisi za odkrivanje morebitnih nepravilnosti.
3. Investirajte v odkrivanje zlonamerne programske opreme: uporabite napredna orodja za odkrivanje groženj, da prepoznate zakulisno zlonamerno programsko opremo in druge sofisticirane grožnje.

Rop Radiant Capital je jasen opomnik naraščajoče sofisticiranosti kibernetskih kriminalcev, zlasti skupin, ki jih sponzorira država, kot je severnokorejska UNC4736. Ker ekosistem DeFi še naprej raste, raste tudi njegova privlačnost za akterje groženj, ki iščejo izplačila z visokimi vložki. Krepitev obrambe in spodbujanje budnosti med razvijalci in uporabniki bo ključnega pomena v tekočem boju za zagotovitev decentraliziranih financ.