Den 16. oktober 2024 blev Radiant Capital, en decentraliseret cross-chain låneprotokol bygget på LayerZero, offer for et meget sofistikeret cyberangreb, der resulterede i et svimlende tab på 50 millioner dollars.
Angrebet er siden blevet forbundet med nordkoreanske hackere, hvilket markerer endnu et alarmerende kapitel i den voksende bølge af cyberkriminalitet rettet mod decentraliseret finans (DeFi).
Rapport forbinder nordkoreanske aktører med Radiant Capital hændelse
En rapport fra OneKey, en Coinbase-støttet producent af krypto hardware wallets, tilskrev angrebet nordkoreanske hackere. Rapporten bygger på en nylig medium post delt af Radiant Capital, som gav en opdatering om hændelsen den 16. oktober.
Angiveligt har Mandiant, et førende cybersikkerhedsfirma, yderligere forbundet bruddet med UNC4736, en DPRK-tilknyttet gruppe også kendt som AppleJeus eller Citrine Sleet. Denne gruppe opererer under Reconnaissance General Bureau (RGB), Nordkoreas primære efterretningsagentur.
Mandiants undersøgelse afslørede, at angriberne omhyggeligt planlagde deres operation. De iscenesatte ondsindede smart contracts på tværs af flere blockchain-netværk, herunder Arbitrum, Binance Smart Chain, Base og Ethereum. Disse bestræbelser afspejler de avancerede evner hos DPRK-støttede trusselsaktører i at målrette DeFi-sektoren.
Bruddet begyndte med et kalkuleret phishing-angreb den 11. september 2024. En Radiant Capital-udvikler modtog en Telegram-besked fra en person, der udgav sig for at være en betroet entreprenør. Beskeden indeholdt en zip-fil, der angiveligt indeholdt en smart contract audit-rapport. Denne fil, “Penpie_Hacking_Analysis_Report.zip,” var fyldt med malware kendt som INLETDRIFT, en macOS-bagdør, der muliggjorde uautoriseret adgang til Radiants systemer.
Da udvikleren åbnede filen, så det ud til at indeholde en legitim PDF. Men malwaren installerede sig lydløst og etablerede en bagdørsforbindelse til et ondsindet domæne på atokyonews[.]com. Dette tillod angriberne at sprede malwaren yderligere blandt Radiants teammedlemmer og opnå dybere adgang til følsomme systemer.
Hackernes strategi kulminerede i et man-in-the-middle (MITM) angreb. Ved at udnytte kompromitterede enheder opsnappede og manipulerede de transaktionsanmodninger inden for Radiants Gnosis Safe Multisig wallets. Mens transaktionerne så legitime ud for udviklerne, ændrede malwaren dem i hemmelighed for at udføre et transfer Ownership-kald, hvilket gav kontrol over Radiants lånepuljekontrakter.
Udførelse af kuppet, industriens implikationer og lærte lektier
På trods af Radiants overholdelse af bedste praksis, såsom brug af hardware wallets, transaktionssimuleringer og verificeringsværktøjer, omgåede angribernes metoder alle forsvar. Inden for få minutter efter at have sikret ejerskab, tømte hackerne midler fra Radiants lånepuljer, hvilket efterlod platformen og dens brugere i chok.
Radiant Capital-hacket tjener som en skarp advarsel til DeFi-industrien. Selv projekter, der overholder strenge sikkerhedsstandarder, kan falde for sofistikerede trusselsaktører. Hændelsen fremhævede kritiske sårbarheder, herunder:
- Phishing-risici: Angrebet begyndte med en overbevisende efterligningsplan, der understreger behovet for øget årvågenhed mod uopfordret fildeling.
- Blind signering: Selvom det er essentielt, viser hardware wallets ofte kun grundlæggende transaktionsdetaljer, hvilket gør det svært for brugere at opdage ondsindede ændringer. Forbedrede hardware-løsninger er nødvendige for at afkode og validere transaktionsindhold.
- Front-end sikkerhed: Afhængigheden af front-end interfaces til transaktionsverifikation viste sig utilstrækkelig. Forfalskede interfaces gjorde det muligt for hackere at manipulere transaktionsdata uopdaget.
- Styringssvagheder: Fraværet af mekanismer til at tilbagekalde ejerskabsoverførsler efterlod Radiants kontrakter sårbare. Implementering af tidslåse eller krav om forsinkede fonds overførsler kunne give kritisk reaktionstid i fremtidige hændelser.
Som svar på bruddet har Radiant Capital engageret førende cybersikkerhedsfirmaer, herunder Mandiant, zeroShadow og Hypernative. Disse firmaer hjælper med undersøgelsen og genopretning af aktiver. Radiant DAO samarbejder også med amerikanske retshåndhævende myndigheder for at spore og fryse stjålne midler.
I Medium-posten bekræftede Radiant også sin forpligtelse til at dele de lærte erfaringer og forbedre sikkerheden på tværs af DeFi-industrien. DAO understregede vigtigheden af at vedtage stærke styringsrammer, styrke sikkerheden på enhedsniveau og bevæge sig væk fra risikable praksisser som blind signering.
“Det ser ud til, at tingene kunne være stoppet ved trin 1,” kommenterede en bruger på X.
Radiant Capital-hændelsen stemmer overens med en nylig rapport, der indikerede, hvordan nordkoreanske hackere fortsætter med at ændre taktik. Efterhånden som cyberkriminelle bliver mere sofistikerede, må industrien tilpasse sig ved at prioritere gennemsigtighed, stærke sikkerhedsforanstaltninger og samarbejdsindsatser for at bekæmpe sådanne angreb.
Disclaimer
Alle oplysninger på vores hjemmeside offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, der foretages af læserne på grundlag af oplysningerne på vores hjemmeside, er udelukkende på egen risiko.
