Den 16. oktober 2024 ble Radiant Capital, en desentralisert cross-chain utlånsprotokoll bygget på LayerZero, offer for et svært sofistikert cyberangrep som resulterte i et tap på hele $ 50 millioner.
Angrepet har siden blitt knyttet til nordkoreanske hackere, og markerer nok et alarmerende kapittel i den økende bølgen av nettkriminalitet rettet mot desentralisert finans (DeFi).
Rapport knytter nordkoreanske aktører til Radiant Capital-hendelsen
En rapport fra OneKey, en Coinbase-støttet kryptohardware-lommebokprodusent, tilskrev angrepet til nordkoreanske hackere. Rapporten bygger på en nylig medium post delt av Radiant Capital, som ga en oppdatering om hendelsen den 16. oktober.
Angivelig knyttet Mandiant, et ledende cybersikkerhetsfirma, bruddet til UNC4736, en DPRK-tilknyttet gruppe også kjent som AppleJeus eller Citrine Sleet. Denne gruppen opererer under Reconnaissance General Bureau (RGB), Nord-Koreas primære etterretningsbyrå.
Mandiants etterforskning avslørte at angriperne nøye planla operasjonen sin. De iscenesatte ondsinnede smartkontrakter på tvers av flere blokkjedenettverk, inkludert Arbitrum, Binance Smart Chain, Base og Ethereum. Disse innsatsene reflekterer de avanserte evnene til DPRK-støttede trusselaktører i å målrette DeFi-sektoren.
Bruddet begynte med et kalkulert phishing-angrep den 11. september 2024. En Radiant Capital-utvikler mottok en Telegram-melding fra en person som utga seg for å være en betrodd entreprenør. Meldingen inkluderte en zip-fil som angivelig inneholdt en smartkontrakt-revisjonsrapport. Denne filen, “Penpie_Hacking_Analysis_Report.zip,” var infisert med skadelig programvare kjent som INLETDRIFT, en macOS-bakdør som muliggjorde uautorisert tilgang til Radiants systemer.
Da utvikleren åpnet filen, så den ut til å inneholde en legitim PDF. Imidlertid installerte skadelig programvare seg stille, og etablerte en bakdørforbindelse til et ondsinnet domene på atokyonews[.]com. Dette tillot angriperne å spre skadelig programvare videre blant Radiants teammedlemmer, og få dypere tilgang til sensitive systemer.
Hackernes strategi kulminerte i et man-in-the-middle (MITM) angrep. Ved å utnytte kompromitterte enheter, avlyttet og manipulerte de transaksjonsforespørsler innen Radiants Gnosis Safe Multisig lommebøker. Mens transaksjoner virket legitime for utviklere, endret skadelig programvare dem i det skjulte for å utføre en overføring av eierskapsanrop, og tok kontroll over Radiants utlånspoolkontrakter.
Utførelse av kuppet, bransjeimplikasjoner og lærdommer
Til tross for Radiants overholdelse av beste praksis, som bruk av hardware-lommebøker, transaksjonssimuleringer og verifikasjonsverktøy, klarte angripernes metoder å omgå alle forsvar. Innen minutter etter å ha sikret eierskap, tømte hackerne midler fra Radiants utlånspooler, og etterlot plattformen og brukerne i sjokk.
Radiant Capital-hacket fungerer som en skarp advarsel til DeFi-industrien. Selv prosjekter som følger strenge sikkerhetsstandarder kan bli offer for sofistikerte trusselaktører. Hendelsen fremhevet kritiske sårbarheter, inkludert:
- Phishing-risiko: Angrepet begynte med en overbevisende imitasjonsordning, som understreker behovet for økt årvåkenhet mot uoppfordret filutveksling.
- Blind signering: Selv om det er essensielt, viser hardware-lommebøker ofte bare grunnleggende transaksjonsdetaljer, noe som gjør det vanskelig for brukere å oppdage ondsinnede modifikasjoner. Forbedrede løsninger på maskinvarenivå er nødvendige for å dekode og validere transaksjonsdata.
- Front-end sikkerhet: Avhengigheten av front-end grensesnitt for transaksjonsverifikasjon viste seg å være utilstrekkelig. Forfalskede grensesnitt gjorde det mulig for hackere å manipulere transaksjonsdata uoppdaget.
- Styringssvakheter: Fraværet av mekanismer for å tilbakekalle eierskapsoverføringer etterlot Radiants kontrakter sårbare. Implementering av tidslåser eller krav om forsinkede fonds overføringer kan gi kritisk reaksjonstid i fremtidige hendelser.
Som svar på bruddet har Radiant Capital engasjert ledende cybersikkerhetsfirmaer, inkludert Mandiant, zeroShadow og Hypernative. Disse firmaene bistår i etterforskningen og gjenoppretting av aktiva. Radiant DAO samarbeider også med amerikanske rettshåndhevelsesmyndigheter for å spore og fryse stjålne midler.
I Medium-posten bekreftet Radiant også sitt engasjement for å dele lærdommer og forbedre sikkerheten i hele DeFi-industrien. DAO understreket viktigheten av å adoptere sterke styringsrammer, styrke sikkerheten på enhetsnivå og bevege seg bort fra risikable praksiser som blind signering.
“Det ser ut som ting kunne ha stoppet ved trinn 1,” kommenterte en bruker på X kommenterte.
Radiant Capital-hendelsen samsvarer med en nylig rapport, som indikerte hvordan nordkoreanske hackere fortsetter å endre taktikk. Etter hvert som nettkriminelle blir mer sofistikerte, må industrien tilpasse seg ved å prioritere åpenhet, sterke sikkerhetstiltak og samarbeid for å bekjempe slike angrep.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
