У пограбуванні Radiant Capital на 50 мільйонів доларів звинувачують північнокорейських хакерів

Проект децентралізованого фінансування (DeFi) Radiant Capital підтвердив, що північнокорейські хакери організували крадіжку 50 мільйонів доларів під час складної атаки у жовтні. Злом використовував зловмисне програмне забезпечення, протоколи з декількома підписами та хитрий хід соціальної інженерії, щоб викачувати кошти з основних ринків, залишаючи платформу та її користувачів у неспокої.

Як розгортався напад

Пограбування почалося з цілеспрямованої схеми фішингу у вересні, згідно зі звітом Radiant. Розробник отримав повідомлення в Telegram з облікового запису, який видав себе за довіреного колишнього підрядника. Повідомлення містило заархівований PDF-файл, нібито пов’язаний з можливістю аудиту смарт-контракту. Здавалося б, рутинна вимога призвела до жахливих наслідків.

Коли розробник надіслав файл для відгуку, кілька пристроїв заразилися Inletdrift , бекдор-зловмисним програмним забезпеченням. Шкідлива програма дозволяла зловмисникам контролювати та маніпулювати системами розробників, створюючи основу для злому 16 жовтня. Інфікувавши трьох основних розробників, хакери отримали доступ до мультипідписного гаманця Radiant під час звичайного процесу коригування викидів.

Оманлива операція

Зловмисники здійснювали шахрайські транзакції, не порушуючи сигналів, завдяки підривному трюку, який ошукав систему перевірки Safe{Wallet} Radiant. Інтерфейс гаманця показував розробникам законні дані транзакцій, маскуючи зловмисні дії, що відбувалися у фоновому режимі.

Radiant розкрив, що вкрадені кошти були виведені з облікових записів користувачів шляхом відкритого схвалення. У заяві компанія пояснила:

“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”

Хакери розгорнули шкідливі смарт-контракти в кількох блокчейн-мережах, включаючи Arbitrum , Base , Binance Smart Chain і Ethereum . Після завершення пограбування вони швидко видалили сліди шкідливого програмного забезпечення та відповідних розширень браузера, щоб замести сліди.

Приписування північнокорейським хакерам

Фірма з кібербезпеки Mandiant , яка розслідувала злом, приписала атаку загрозливому агенту, який підтримується державою Північної Кореї, відомому як UNC4736 . Група, яку також називають AppleJeus або Citrine Sleet , діє під керівництвом Головного розвідувального бюро Пхеньяна (RGB), іноземної розвідки. Мандіант заявив:

“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”

UNC4736 має історію націлювання на криптовалютні платформи для фінансування режиму Північної Кореї та ухилення від міжнародних санкцій. Група сумно відома тим, що використовує фальшиві пропозиції про роботу та шкідливі документи для проникнення в організації, тактику, відображену в атаці Radiant Capital.

Наслідки та отримані уроки

Пограбування завдало серйозного удару по Radiant Capital, виснаживши його ліквідність і підірвавши довіру користувачів. Хоча з тих пір проект посилив свої протоколи безпеки, інцидент підкреслює вразливі місця, притаманні платформам DeFi.

Основні висновки для користувачів і розробників:

1. Остерігайтеся соціальної інженерії: завжди перевіряйте неочікувані повідомлення, особливо ті, що стосуються пропозицій про роботу або завантаження файлів.
2. Зміцнення процесів мультипідпису: посилення механізмів перегляду транзакцій із кількома підписами для виявлення потенційних аномалій.
3. Інвестуйте у виявлення зловмисного програмного забезпечення. Використовуйте розширені інструменти виявлення загроз, щоб ідентифікувати бекдорне зловмисне програмне забезпечення та інші складні загрози.

Пограбування Radiant Capital є яскравим нагадуванням про зростаючу витонченість кіберзлочинців, особливо спонсорованих державою груп, таких як північнокорейська UNC4736. Оскільки екосистема DeFi продовжує розвиватися, зростає і її привабливість для учасників загроз, які прагнуть отримати виплати з високими ставками. Зміцнення захисту та підвищення пильності серед розробників і користувачів буде критично важливим у поточній боротьбі за забезпечення децентралізованого фінансування.