$50 miljoner Radiant Capital Heist skylls på nordkoreanska hackare

I en skrämmande avslöjande har Radiant Capital-projektet för decentraliserat finans (DeFi) bekräftat att nordkoreanska hackare orkestrerade en stöld på 50 miljoner dollar i en sofistikerad oktoberattack. Intrånget utnyttjade skadlig programvara, protokoll med flera signaturer och ett listigt socialt ingenjörsknep för att ta bort pengar från kärnmarknaderna, vilket gjorde att plattformen och dess användare tjafsade.

Hur attacken utvecklades

Rån började med ett riktat nätfiskesystem i september, enligt Radiants obduktionsrapport. En utvecklare fick ett Telegram-meddelande från ett konto som imiterade en betrodd före detta entreprenör. Meddelandet innehöll en zippad PDF-fil, påstås relaterad till en smart kontraktsrevisionsmöjlighet. Den till synes rutinmässiga begäran ledde till förödande konsekvenser.

När utvecklaren delade filen för feedback infekterades flera enheter med Inletdrift , en bakdörr skadlig kod. Det skadliga programmet gjorde det möjligt för angripare att övervaka och manipulera utvecklarnas system, vilket satte scenen för intrånget den 16 oktober. Genom att infektera tre kärnutvecklare fick hackarna tillgång till Radiants multisignaturplånbok under en rutinmässig utsläppsjusteringsprocess.

En vilseledande operation

Angriparna utförde bedrägliga transaktioner utan att höja röda flaggor, tack vare ett subversivt trick som lurade Radiants Safe{Wallet}-verifieringssystem. Plånbokens gränssnitt visade legitima transaktionsdata för utvecklare och maskerade de skadliga aktiviteter som inträffade i bakgrunden.

Radiant avslöjade att de stulna medlen togs ut från användarkonton via öppna godkännanden. I ett uttalande förklarade företaget:

“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”

Hackarna distribuerade skadliga smarta kontrakt över flera blockkedjenätverk, inklusive Arbitrum , Base , Binance Smart Chain och Ethereum . När rånet var slutfört tog de snabbt bort spår av skadlig programvara och relaterade webbläsartillägg för att täcka deras spår.

Tillskrivning till nordkoreanska hackare

Cybersäkerhetsföretaget Mandiant , som undersökte intrånget, tillskrev attacken till en nordkoreansk statsstödd hotaktör känd som UNC4736 . Gruppen, även kallad AppleJeus eller Citrine Sleet , verkar under Pyongyangs Reconnaissance General Bureau (RGB), en utländsk underrättelsebyrå. Mandiant sa:

“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”

UNC4736 har en historia av att rikta in sig på kryptovalutaplattformar för att finansiera Nordkoreas regim och undvika internationella sanktioner. Gruppen är ökända för att använda falska jobberbjudanden och skadliga dokument för att infiltrera organisationer, en taktik som återspeglas i Radiant Capital-attacken.

Nedfallet och lärdomar

Rånet gav Radiant Capital ett hårt slag, tömde dess likviditet och skadade användarnas förtroende. Medan projektet sedan dess har stärkt sina säkerhetsprotokoll, belyser incidenten de sårbarheter som är inneboende i DeFi-plattformar.

Viktiga tips för användare och utvecklare inkluderar:

1. Se upp för social ingenjörskonst: Verifiera alltid oväntade meddelanden, särskilt de som involverar jobberbjudanden eller filnedladdningar.
2. Härda flersignaturprocesser: Stärk granskningsmekanismerna för multisignaturtransaktioner för att upptäcka potentiella avvikelser.
3. Investera i upptäckt av skadlig programvara: Använd avancerade verktyg för att upptäcka hot för att identifiera bakdörr skadlig programvara och andra sofistikerade hot.

The Radiant Capital heist är en skarp påminnelse om den växande sofistikeringen av cyberkriminella, särskilt statligt sponsrade grupper som Nordkoreas UNC4736. När DeFi-ekosystemet fortsätter att växa, ökar även dess lockelse för hotaktörer som söker utbetalningar med höga insatser. Att stärka försvaret och främja vaksamhet bland utvecklare och användare kommer att vara avgörande i den pågående kampen för att säkra decentraliserad finansiering.