5000萬美元的光輝資本搶劫案歸咎於北韓駭客
令人不寒而慄的消息是,去中心化金融 (DeFi) 計畫 Radiant Capital 證實,北韓駭客在 10 月的一次複雜攻擊中精心策劃了 5000 萬美元的盜竊案。該漏洞利用惡意軟體、多重簽名協議和狡猾的社會工程策略從核心市場吸走資金,讓平台及其用戶感到震驚。
目錄
攻擊是如何展開的
根據 Radiant 的事後分析報告,這起搶劫事件始於 9 月的一次有針對性的網路釣魚計畫。一名開發人員收到了一條來自冒充受信任前承包商的帳戶的 Telegram 訊息。該訊息包含一個壓縮的 PDF 文件,據稱與智能合約審計機會相關。這個看似例行公事的要求導致了毀滅性的後果。
當開發人員分享該檔案以獲取回饋時,多個裝置感染了Inletdrift (一種後門惡意軟體)。該惡意程式使攻擊者能夠監視和操縱開發人員的系統,為 10 月 16 日的漏洞奠定了基礎。透過感染三名核心開發人員,駭客在例行排放調整過程中獲得了 Radiant 多重簽名錢包的存取權。
欺騙性操作
由於欺騙了 Radiant 的 Safe{Wallet} 驗證系統的顛覆性技巧,攻擊者在沒有發出危險信號的情況下執行了詐欺交易。錢包介面向開發者顯示合法的交易數據,掩蓋了後台發生的惡意活動。
Radiant 透露,被盜資金是透過公開批准從用戶帳戶中提取的。該公司在聲明中解釋:
“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”
駭客在多個區塊鏈網路上部署了惡意智慧合約,包括Arbitrum 、 Base 、幣安智能鍊和以太坊。搶劫完成後,他們迅速刪除了惡意軟體和相關瀏覽器擴充功能的痕跡,以掩蓋他們的蹤跡。
歸因於北韓駭客
調查此外洩事件的網路安全公司Mandiant將此攻擊歸咎於北韓國家支持的威脅行為者UNC4736 。該組織也被稱為AppleJeus或Citrine Sleet ,隸屬於外國情報機構平壤偵察總局 (RGB)。曼迪安特表示:
“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”
UNC4736 有著針對加密貨幣平台為北韓政權提供資金並逃避國際制裁的歷史。該組織因使用虛假工作機會和惡意文件滲透組織而臭名昭著,這一策略在 Radiant Capital 攻擊中得到了體現。
後果和經驗教訓
這次搶劫事件對 Radiant Capital 造成了嚴重打擊,耗盡了其流動性並損害了用戶信任。儘管該專案此後加強了其安全協議,但該事件凸顯了 DeFi 平台固有的漏洞。
使用者和開發人員的主要收穫包括:
- 小心社會工程:始終驗證意外訊息,尤其是涉及工作機會或文件下載的訊息。
- 強化多重簽章流程:加強多重簽章交易的審查機制,以偵測潛在的異常狀況。
- 投資惡意軟體偵測:使用進階威脅偵測工具來識別後門惡意軟體和其他複雜威脅。
Radiant Capital 搶劫事件清楚提醒人們,網路犯罪分子的手段日益複雜,特別是由北韓 UNC4736 等國家資助的組織。隨著 DeFi 生態系統的不斷發展,它對尋求高風險回報的威脅行為者的吸引力也不斷增強。在持續的確保去中心化金融的鬥爭中,加強防禦並提高開發者和使用者的警覺性至關重要。