50 miljoonan dollarin Radiant Capital -hakkerointi jäljitetty pohjoiskorealaisiin kyberrikollisiin

16. lokakuuta 2024 Radiant Capital, hajautettu cross-chain lainausprotokolla, joka on rakennettu LayerZerolle, joutui erittäin kehittyneen kyberhyökkäyksen kohteeksi, mikä johti huikeaan 50 miljoonan dollarin menetykseen.

Hyökkäys on sittemmin yhdistetty pohjoiskorealaisiin hakkereihin, mikä merkitsee uutta huolestuttavaa lukua kasvavassa kyberrikollisuuden aallossa, joka kohdistuu hajautettuun rahoitukseen (DeFi).

Raportti yhdistää pohjoiskorealaiset toimijat Radiant Capital -tapaukseen

Raportti OneKeyltä, Coinbase-taustaiselta kryptovaluutta-laitelompakon valmistajalta, liitti hyökkäyksen pohjoiskorealaisiin hakkereihin. Raportti laajentaa Radiant Capitalin äskettäin jakamaa medium-postausta, joka tarjosi tapahtumapäivityksen 16. lokakuuta hyökkäyksestä.

Ilmeisesti johtava kyberturvallisuusyritys Mandiant yhdisti tietomurron myös UNC4736:een, DPRK:hon liittyvään ryhmään, joka tunnetaan myös nimillä AppleJeus tai Citrine Sleet. Tämä ryhmä toimii Pohjois-Korean pääasiallisen tiedusteluviraston, Reconnaissance General Bureaun (RGB), alaisuudessa.

Mandiantin tutkimus paljasti, että hyökkääjät suunnittelivat operaationsa huolellisesti. He asettivat haitallisia älysopimuksia useille lohkoketjuverkoille, mukaan lukien Arbitrum, Binance Smart Chain, Base ja Ethereum. Nämä toimet heijastavat DPRK:n tukemien uhkatoimijoiden kehittyneitä kykyjä kohdistaa hyökkäyksiä DeFi-sektoriin.

Tietomurto alkoi laskelmoidulla phishing-hyökkäyksellä 11. syyskuuta 2024. Radiant Capitalin kehittäjä sai Telegram-viestin henkilöltä, joka esiintyi luotettavana urakoitsijana. Viesti sisälsi zip-tiedoston, jonka väitettiin sisältävän älysopimuksen auditointiraportin. Tämä tiedosto, “Penpie_Hacking_Analysis_Report.zip,” oli varustettu haittaohjelmalla nimeltä INLETDRIFT, macOS-takaportilla, joka mahdollisti luvattoman pääsyn Radiantin järjestelmiin.

Kehittäjän avattua tiedoston se näytti sisältävän laillisen PDF:n. Haittaohjelma kuitenkin asensi itsensä hiljaisesti, luoden takaporttiyhteyden haitalliseen verkkotunnukseen atokyonews[.]com. Tämä mahdollisti hyökkääjien levittää haittaohjelmaa edelleen Radiantin tiimin jäsenten keskuudessa, saaden syvemmän pääsyn arkaluonteisiin järjestelmiin.

Hakkereiden strategia huipentui man-in-the-middle (MITM) -hyökkäykseen. Hyödyntämällä vaarantuneita laitteita he sieppasivat ja manipuloivat tapahtumapyyntöjä Radiantin Gnosis Safe Multisig-lompakoissa. Vaikka tapahtumat näyttivät kehittäjille laillisilta, haittaohjelma muutti niitä salaa suorittamaan omistajuuden siirto -kutsun, ottaen haltuunsa Radiantin lainauspoolisopimukset.

Ryöstön toteutus, alan vaikutukset ja opitut läksyt

Radiantin noudattamista parhaista käytännöistä huolimatta, kuten laitelompakoiden, tapahtumasimulaatioiden ja vahvistustyökalujen käytöstä, hyökkääjien menetelmät ohittivat kaikki puolustukset. Minuuteissa omistajuuden varmistamisen jälkeen hakkerit tyhjensivät varat Radiantin lainauspooleista, jättäen alustan ja sen käyttäjät järkyttyneiksi.

Radiant Capitalin hakkerointi toimii vakavana varoituksena DeFi-teollisuudelle. Jopa projekteja, jotka noudattavat tiukkoja turvallisuusstandardeja, voivat kohdata kehittyneet uhkatoimijat. Tapahtuma korosti kriittisiä haavoittuvuuksia, mukaan lukien:

• Phishing-riskit: Hyökkäys alkoi vakuuttavalla esiintymisellä, mikä korostaa tarvetta lisätä valppautta ei-toivottua tiedostojen jakamista vastaan.
• Sokea allekirjoittaminen: Vaikka se onkin välttämätöntä, laitelompakot näyttävät usein vain perustiedot tapahtumista, mikä vaikeuttaa käyttäjien havaita haitallisia muutoksia. Parannettuja laitetason ratkaisuja tarvitaan tapahtumakuormien purkamiseen ja vahvistamiseen.
• Etupään turvallisuus: Luottamus etupään käyttöliittymiin tapahtumien vahvistamisessa osoittautui riittämättömäksi. Väärennetyt käyttöliittymät mahdollistivat hakkereiden manipuloida tapahtumatietoja huomaamatta.
• Hallinnon heikkoudet: Mekanismien puuttuminen omistajuuden siirtojen peruuttamiseksi jätti Radiantin sopimukset haavoittuviksi. Aikaviiveiden tai viivästettyjen varojen siirtojen vaatiminen voisi tarjota kriittistä reagointiaikaa tulevissa tapauksissa.

Vastauksena tietomurtoon Radiant Capital on ottanut mukaan johtavia kyberturvallisuusyrityksiä, kuten Mandiant, zeroShadow ja Hypernative. Nämä yritykset auttavat tutkimuksessa ja omaisuuden palauttamisessa. Radiant DAO tekee myös yhteistyötä Yhdysvaltain lainvalvontaviranomaisten kanssa jäljittääkseen ja jäädyttääkseen varastetut varat.

Medium-postauksessa Radiant myös vahvisti sitoutumisensa jakaa opittuja kokemuksia ja parantaa turvallisuutta koko DeFi-teollisuudessa. DAO korosti vahvojen hallintokehysten käyttöönoton, laitetason turvallisuuden vahvistamisen ja riskialttiiden käytäntöjen, kuten sokean allekirjoittamisen, välttämisen tärkeyttä.

“Näyttää siltä, että asiat olisivat voineet pysähtyä vaiheessa 1,” yksi käyttäjä X:ssä kommentoi.

Radiant Capital -tapaus on linjassa äskettäisen raportin kanssa, joka osoitti, kuinka pohjoiskorealaiset hakkerit jatkavat taktiikoidensa muuttamista. Kyberrikollisten kehittyessä teollisuuden on sopeuduttava asettamalla etusijalle läpinäkyvyys, vahvat turvallisuustoimenpiteet ja yhteistyötoimet tällaisten hyökkäysten torjumiseksi.