朝鲜黑客窃取 5000 万美元 Radiant Capital 资产
令人不寒而栗的是,去中心化金融 (DeFi) 项目 Radiant Capital 证实,朝鲜黑客在 10 月份的一次精心策划的攻击中窃取了 5000 万美元。此次攻击利用恶意软件、多重签名协议和狡猾的社会工程手段从核心市场窃取资金,使该平台及其用户陷入困境。
目录
攻击如何展开
根据 Radiant 的事后报告,此次盗窃始于 9 月份的一次有针对性的网络钓鱼计划。一名开发人员收到了一条 Telegram 消息,该消息来自一个冒充可信前承包商的账户。该消息包含一个压缩的 PDF 文件,据称与智能合约审计机会有关。这个看似常规的请求导致了灾难性的后果。
当开发人员共享文件以征求反馈时,多台设备感染了后门恶意软件Inletdrift 。该恶意程序使攻击者能够监视和操纵开发人员的系统,为 10 月 16 日的入侵埋下了伏笔。通过感染三名核心开发人员,黑客在例行排放调整过程中获得了 Radiant 多重签名钱包的访问权限。
欺骗性行动
攻击者利用一种颠覆性的技巧欺骗了 Radiant 的 Safe{Wallet} 验证系统,从而悄无声息地执行了欺诈交易。钱包界面向开发人员显示合法的交易数据,掩盖了后台发生的恶意活动。
Radiant 透露,被盗资金是通过公开批准从用户账户中提取的。该公司在一份声明中解释道:
“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”
黑客在多个区块链网络上部署了恶意智能合约,包括Arbitrum 、 Base 、币安智能链和以太坊。 盗窃完成后,他们迅速删除了恶意软件和相关浏览器扩展的痕迹以掩盖他们的踪迹。
朝鲜黑客
负责调查此次入侵事件的网络安全公司Mandiant将此次攻击归咎于朝鲜政府支持的威胁行为者UNC4736 。该组织也被称为AppleJeus或Citrine Sleet ,隶属于平壤的外国情报机构侦察总局 (RGB)。Mandiant 表示:
“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”
UNC4736 曾多次以加密货币平台为目标,为朝鲜政权提供资金并逃避国际制裁。该组织因使用虚假工作机会和恶意文件渗透组织而臭名昭著,Radiant Capital 攻击中也采用了这种策略。
后果和教训
此次盗窃事件给 Radiant Capital 造成了严重打击,耗尽了其流动性并损害了用户信任。尽管该项目此后加强了安全协议,但此次事件凸显了 DeFi 平台固有的漏洞。
对于用户和开发者来说,关键要点包括:
- 警惕社会工程学:始终核实意外消息,尤其是涉及工作机会或文件下载的消息。
- 强化多重签名流程:加强多重签名交易的审查机制,以检测潜在的异常。
- 投资恶意软件检测:使用先进的威胁检测工具来识别后门恶意软件和其他复杂威胁。
Radiant Capital 被盗事件清楚地提醒我们,网络犯罪分子的手段越来越高明,尤其是朝鲜 UNC4736 等国家支持的组织。随着 DeFi 生态系统的不断发展,其对寻求高额回报的威胁行为者的吸引力也在不断增强。在持续的去中心化金融安全之战中,加强防御并提高开发者和用户的警惕性至关重要。