50 miljoner USD Radiant Capital-hack spårat till nordkoreanska cyberbrottslingar

Den 16 oktober 2024 drabbades Radiant Capital, ett decentraliserat cross-chain utlåningsprotokoll byggt på LayerZero, av en mycket sofistikerad cyberattack som resulterade i en förlust på 50 miljoner USD.

Attacken har kopplats till nordkoreanska hackare, vilket markerar ännu ett alarmerande kapitel i den växande vågen av cyberbrott som riktar sig mot decentraliserad finans (DeFi).

Rapport kopplar nordkoreanska aktörer till Radiant Capital-incidenten

En rapport från OneKey, en Coinbase-stödd kryptohårdvaruplånbokstillverkare, tillskrev attacken till nordkoreanska hackare. Rapporten bygger på ett nyligen mediuminlägg från Radiant Capital, som gav en uppdatering om attacken den 16 oktober.

Enligt uppgifter kopplade Mandiant, ett ledande cybersäkerhetsföretag, intrånget till UNC4736, en grupp med kopplingar till Nordkorea, även känd som AppleJeus eller Citrine Sleet. Denna grupp verkar under Reconnaissance General Bureau (RGB), Nordkoreas främsta underrättelsetjänst.

Mandiants utredning visade att angriparna noggrant planerade sin operation. De placerade skadliga smarta kontrakt över flera blockkedjenätverk, inklusive Arbitrum, Binance Smart Chain, Base och Ethereum. Dessa ansträngningar visar de avancerade förmågorna hos hotaktörer med stöd av Nordkorea i att rikta in sig på DeFi-sektorn.

Intrånget började med en noggrant planerad phishing-attack den 11 september 2024. En utvecklare på Radiant Capital fick ett Telegram-meddelande från en person som utgav sig för att vara en betrodd entreprenör. Meddelandet innehöll en zip-fil som påstods innehålla en granskning av ett smart kontrakt. Denna fil, “Penpie_Hacking_Analysis_Report.zip,” var infekterad med skadlig programvara känd som INLETDRIFT, en macOS-bakdörr som möjliggjorde obehörig åtkomst till Radiants system.

När utvecklaren öppnade filen verkade den innehålla en legitim PDF. Men den skadliga programvaran installerade sig tyst och etablerade en bakdörranslutning till en skadlig domän på atokyonews[.]com. Detta gjorde det möjligt för angriparna att sprida den skadliga programvaran vidare bland Radiants teammedlemmar och få djupare åtkomst till känsliga system.

Hackarnas strategi kulminerade i en man-in-the-middle (MITM) attack. Genom att utnyttja komprometterade enheter avlyssnade och manipulerade de transaktionsförfrågningar inom Radiants Gnosis Safe Multisig-plånböcker. Medan transaktionerna verkade legitima för utvecklarna, ändrade den skadliga programvaran dem i hemlighet för att utföra ett överföringsägarskapsanrop och ta kontroll över Radiants utlåningspoolkontrakt.

Genomförande av kuppen, branschens konsekvenser och lärdomar

Trots Radiants efterlevnad av bästa praxis, som att använda hårdvaruplånböcker, transaktionssimuleringar och verifieringsverktyg, kringgick angriparnas metoder alla försvar. Inom några minuter efter att ha säkrat ägandet tömde hackarna medel från Radiants utlåningspooler, vilket lämnade plattformen och dess användare i chock.

Radiant Capital-attacken fungerar som en skarp varning till DeFi-industrin. Även projekt som följer strikta säkerhetsstandarder kan falla offer för sofistikerade hotaktörer. Händelsen belyste kritiska sårbarheter, inklusive:

• Phishingrisker: Attacken började med en övertygande imitation, vilket betonar behovet av ökad vaksamhet mot oönskad filöverföring.
• Blind signering: Även om det är viktigt, visar hårdvaruplånböcker ofta bara grundläggande transaktionsdetaljer, vilket gör det svårt för användare att upptäcka skadliga ändringar. Förbättrade lösningar på hårdvarunivå är nödvändiga för att avkoda och validera transaktionsdata.
• Front-end säkerhet: Förlitan på front-end-gränssnitt för transaktionsverifiering visade sig otillräcklig. Förfalskade gränssnitt gjorde det möjligt för hackare att manipulera transaktionsdata oupptäckt.
• Styrningssvagheter: Avsaknaden av mekanismer för att återkalla ägaröverföringar lämnade Radiants kontrakt sårbara. Implementering av tidslås eller krav på fördröjda medelöverföringar kan ge kritisk reaktionstid vid framtida incidenter.

Som svar på intrånget har Radiant Capital engagerat ledande cybersäkerhetsföretag, inklusive Mandiant, zeroShadow och Hypernative. Dessa företag hjälper till med utredningen och återhämtningen av tillgångar. Radiant DAO samarbetar också med amerikanska brottsbekämpande myndigheter för att spåra och frysa stulna medel.

I Medium-inlägget bekräftade Radiant också sitt engagemang för att dela lärdomar och förbättra säkerheten inom DeFi-industrin. DAO betonade vikten av att anta starka styrningsramar, stärka säkerheten på enhetsnivå och avstå från riskfyllda metoder som blind signering.

“Det verkar som att saker kunde ha stoppats vid steg 1,” kommenterade en användare på X.

Radiant Capital-incidenten stämmer överens med en nyligen rapport, som visade hur nordkoreanska hackare fortsätter att ändra taktik. När cyberbrottslingar blir mer sofistikerade måste industrin anpassa sig genom att prioritera transparens, starka säkerhetsåtgärder och samarbete för att bekämpa sådana attacker.