50 Milyon Dolarlık Radiant Capital Soygununun Sorumlusu Kuzey Koreli Hackerlar Oldu

Ürpertici bir ifşaatta, merkezi olmayan finans (DeFi) projesi Radiant Capital, Kuzey Koreli bilgisayar korsanlarının Ekim ayındaki karmaşık bir saldırıda 50 milyon dolarlık bir hırsızlık düzenlediğini doğruladı. İhlal, kötü amaçlı yazılımları, çoklu imza protokollerini ve çekirdek piyasalardan fonları sızdırmak için kurnazca bir sosyal mühendislik hilesini kullandı ve platformu ve kullanıcılarını sersemletti.

Saldırı Nasıl Gerçekleşti?

Soygun, Radiant'ın ölüm sonrası raporuna göre Eylül ayında hedefli bir kimlik avı planıyla başladı. Bir geliştirici, güvenilir eski bir müteahhidi taklit eden bir hesaptan bir Telegram mesajı aldı. Mesaj, akıllı sözleşme denetim fırsatıyla ilgili olduğu iddia edilen sıkıştırılmış bir PDF dosyası içeriyordu. Görünüşte rutin olan bu istek yıkıcı sonuçlara yol açtı.

Geliştirici dosyayı geri bildirim için paylaştığında, birden fazla cihaz arka kapı kötü amaçlı yazılımı olan Inletdrift ile enfekte oldu. Kötü amaçlı program, saldırganların geliştiricilerin sistemlerini izlemesini ve manipüle etmesini sağlayarak 16 Ekim ihlali için ortamı hazırladı. Üç temel geliştiriciyi enfekte ederek, bilgisayar korsanları rutin bir emisyon ayarlama süreci sırasında Radiant'ın çoklu imza cüzdanına erişim sağladı.

Aldatıcı Bir Operasyon

Saldırganlar, Radiant'ın Safe{Wallet} doğrulama sistemini aldatan yıkıcı bir hile sayesinde kırmızı bayrak kaldırmadan sahtekarlık işlemleri gerçekleştirdi. Cüzdan arayüzü, geliştiricilere meşru işlem verilerini göstererek arka planda gerçekleşen kötü amaçlı faaliyetleri maskeledi.

Radiant, çalınan fonların açık onaylar aracılığıyla kullanıcı hesaplarından çekildiğini açıkladı. Şirket bir açıklamada şunları açıkladı:

“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”

Bilgisayar korsanları, Arbitrum , Base , Binance Smart Chain ve Ethereum dahil olmak üzere birden fazla blok zinciri ağında kötü amaçlı akıllı sözleşmeler dağıttı. Soygun tamamlandıktan sonra, izlerini örtmek için kötü amaçlı yazılımın ve ilgili tarayıcı uzantılarının izlerini hızla kaldırdılar.

Kuzey Koreli Hackerlara Atıf

İhlali araştıran siber güvenlik firması Mandiant , saldırıyı UNC4736 olarak bilinen Kuzey Kore devlet destekli bir tehdit aktörüne bağladı. AppleJeus veya Citrine Sleet olarak da bilinen grup, yabancı bir istihbarat teşkilatı olan Pyongyang'ın Keşif Genel Bürosu (RGB) altında faaliyet gösteriyor. Mandiant şunları söyledi:

“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”

UNC4736, Kuzey Kore rejimini finanse etmek ve uluslararası yaptırımlardan kaçınmak için kripto para platformlarını hedef alma geçmişine sahiptir. Grup, kuruluşlara sızmak için sahte iş teklifleri ve kötü amaçlı belgeler kullanmasıyla kötü bir üne sahiptir; bu taktik Radiant Capital saldırısında da yansıtılmıştır.

Sonuç ve Öğrenilen Dersler

Soygun, Radiant Capital'e ağır bir darbe indirdi, likiditesini tüketti ve kullanıcı güvenini zedeledi. Proje o zamandan beri güvenlik protokollerini güçlendirmiş olsa da, olay DeFi platformlarının doğasında bulunan güvenlik açıklarını vurguluyor.

Kullanıcılar ve geliştiriciler için önemli çıkarımlar şunlardır:

1. Sosyal Mühendisliğe Dikkat: Beklenmeyen mesajları, özellikle iş tekliflerini veya dosya indirmelerini içerenleri her zaman doğrulayın.
2. Çoklu İmzalı İşlemleri Güçlendirin: Potansiyel anormallikleri tespit etmek için çoklu imzalı işlemlere ilişkin inceleme mekanizmalarını güçlendirin.
3. Kötü Amaçlı Yazılım Algılamaya Yatırım Yapın: Arka kapı kötü amaçlı yazılımlarını ve diğer karmaşık tehditleri tespit etmek için gelişmiş tehdit algılama araçlarını kullanın.

Radiant Capital soygunu, özellikle Kuzey Kore'nin UNC4736 gibi devlet destekli gruplar olmak üzere siber suçluların giderek daha karmaşık hale geldiğinin çarpıcı bir hatırlatıcısıdır. DeFi ekosistemi büyümeye devam ettikçe, yüksek bahisli ödemeler arayan tehdit aktörleri için cazibesi de artmaktadır. Merkezi olmayan finansı güvence altına almak için devam eden mücadelede savunmaları güçlendirmek ve geliştiriciler ile kullanıcılar arasında uyanıklığı teşvik etmek kritik önem taşıyacaktır.