Vụ cướp Radiant Capital trị giá 50 triệu đô la bị đổ lỗi cho tin tặc Triều Tiên

Trong một tiết lộ lạnh người, dự án tài chính phi tập trung (DeFi) Radiant Capital đã xác nhận rằng tin tặc Triều Tiên đã dàn dựng một vụ trộm 50 triệu đô la trong một cuộc tấn công tinh vi vào tháng 10. Vụ vi phạm đã khai thác phần mềm độc hại, giao thức đa chữ ký và một thủ đoạn kỹ thuật xã hội xảo quyệt để rút tiền từ các thị trường cốt lõi, khiến nền tảng và người dùng của nó chao đảo.

Cuộc tấn công diễn ra như thế nào

Vụ trộm bắt đầu bằng một kế hoạch lừa đảo có chủ đích vào tháng 9, theo báo cáo sau khi khám nghiệm tử thi của Radiant. Một nhà phát triển đã nhận được tin nhắn Telegram từ một tài khoản mạo danh một cựu nhà thầu đáng tin cậy. Tin nhắn chứa một tệp PDF được nén, được cho là liên quan đến cơ hội kiểm toán hợp đồng thông minh. Yêu cầu có vẻ như thường lệ này đã dẫn đến hậu quả tàn khốc.

Khi nhà phát triển chia sẻ tệp để phản hồi, nhiều thiết bị đã bị nhiễm Inletdrift , một phần mềm độc hại cửa sau. Chương trình độc hại này cho phép kẻ tấn công theo dõi và thao túng hệ thống của nhà phát triển, tạo tiền đề cho vụ vi phạm ngày 16 tháng 10. Bằng cách lây nhiễm cho ba nhà phát triển cốt lõi, tin tặc đã truy cập được vào ví đa chữ ký của Radiant trong quá trình điều chỉnh phát thải thông thường.

Một hoạt động lừa đảo

Những kẻ tấn công đã thực hiện các giao dịch gian lận mà không gây ra cảnh báo, nhờ vào một thủ thuật phá hoại đã đánh lừa hệ thống xác minh Safe{Wallet} của Radiant. Giao diện ví hiển thị dữ liệu giao dịch hợp pháp cho các nhà phát triển, che giấu các hoạt động độc hại đang diễn ra ở chế độ nền.

Radiant tiết lộ rằng số tiền bị đánh cắp đã được rút khỏi tài khoản người dùng thông qua các phê duyệt mở. Trong một tuyên bố, công ty giải thích:

“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”

Những kẻ tấn công đã triển khai các hợp đồng thông minh độc hại trên nhiều mạng lưới blockchain, bao gồm Arbitrum , Base , Binance Smart Chain và Ethereum . Sau khi vụ trộm hoàn tất, chúng nhanh chóng xóa dấu vết của phần mềm độc hại và các tiện ích mở rộng trình duyệt liên quan để che giấu dấu vết của chúng.

Ghi nhận cho tin tặc Bắc Triều Tiên

Công ty an ninh mạng Mandiant , đơn vị điều tra vụ vi phạm, đã quy kết vụ tấn công cho một tác nhân đe dọa được nhà nước Triều Tiên hậu thuẫn có tên là UNC4736 . Nhóm này, còn được gọi là AppleJeus hoặc Citrine Sleet , hoạt động theo Tổng cục Trinh sát Bình Nhưỡng (RGB), một cơ quan tình báo nước ngoài. Mandiant tuyên bố:

“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”

UNC4736 có tiền sử nhắm vào các nền tảng tiền điện tử để tài trợ cho chế độ Bắc Triều Tiên và trốn tránh lệnh trừng phạt quốc tế. Nhóm này khét tiếng vì sử dụng các lời mời làm việc giả mạo và các tài liệu độc hại để xâm nhập vào các tổ chức, một chiến thuật được phản ánh trong cuộc tấn công Radiant Capital.

Hậu quả và bài học kinh nghiệm

Vụ trộm đã giáng một đòn nghiêm trọng vào Radiant Capital, làm cạn kiệt thanh khoản và làm tổn hại đến lòng tin của người dùng. Mặc dù dự án đã củng cố các giao thức bảo mật của mình kể từ đó, nhưng sự cố này làm nổi bật các lỗ hổng vốn có trong các nền tảng DeFi.

Những điểm chính cần lưu ý đối với người dùng và nhà phát triển bao gồm:

1. Cảnh giác với kỹ thuật xã hội: Luôn xác minh các tin nhắn bất ngờ, đặc biệt là những tin nhắn liên quan đến việc làm hoặc tải xuống tệp tin.
2. Tăng cường các quy trình đa chữ ký: Tăng cường cơ chế xem xét các giao dịch đa chữ ký để phát hiện các bất thường tiềm ẩn.
3. Đầu tư vào phát hiện phần mềm độc hại: Sử dụng các công cụ phát hiện mối đe dọa tiên tiến để xác định phần mềm độc hại cửa sau và các mối đe dọa tinh vi khác.

Vụ cướp Radiant Capital là lời nhắc nhở rõ ràng về sự tinh vi ngày càng tăng của tội phạm mạng, đặc biệt là các nhóm được nhà nước tài trợ như UNC4736 của Triều Tiên. Khi hệ sinh thái DeFi tiếp tục phát triển, sức hấp dẫn của nó đối với các tác nhân đe dọa tìm kiếm khoản tiền thưởng lớn cũng tăng theo. Việc tăng cường phòng thủ và thúc đẩy sự cảnh giác giữa các nhà phát triển và người dùng sẽ rất quan trọng trong cuộc chiến đang diễn ra để bảo vệ tài chính phi tập trung.