Атака відтоді пов’язаний із північнокорейськими хакерами, що відзначає ще одну тривожну главу у зростаючій хвилі кіберзлочинності, спрямованої проти децентралізованих фінансів (DeFi).
Звіт пов’язує північнокорейських акторів з інцидентом Radiant Capital
У звіті OneKey, виробника криптографічного обладнання, який підтримує Coinbase, приписують атаку північнокорейським хакерам. Звіт ґрунтується на нещодавньому середньому дописі, опублікованому Radiant Capital, у якому міститься інформація про інцидент щодо атаки 16 жовтня.
Як повідомляється, Mandiant, провідна фірма з кібербезпеки, додатково пов’язала злом з UNC4736, групою, пов’язаною з КНДР, також відомою як AppleJeus або Citrine Sleet. Ця група діє під керівництвом Головного розвідувального бюро (RGB), основного розвідувального агентства Північної Кореї.
Розслідування Mandiant показало, що зловмисники ретельно спланували свою операцію. Вони влаштували шкідливі смарт-контракти в кількох блокчейн-мережах, включаючи Arbitrum, Binance Smart Chain, Base і Ethereum. Ці зусилля відображають передові можливості загрозливих суб’єктів, яких підтримує КНДР, у націленні на сектор DeFi.
Порушення почалося з розрахункової фішингової атаки 11 вересня 2024 року. Розробник Radiant Capital отримав повідомлення в Telegram від особи, яка видає себе за надійного підрядника. Повідомлення містило zip-файл, який нібито містив аудиторський звіт смарт-контракту. Цей файл, «Penpie_Hacking_Analysis_Report.zip», містив зловмисне програмне забезпечення, відоме як INLETDRIFT, бекдор macOS, який сприяв несанкціонованому доступу до систем Radiant.
Коли розробник відкрив файл, виявилося, що він містить законний PDF. Однак зловмисне програмне забезпечення мовчки встановилося, встановивши бекдорне з’єднання зі зловмисним доменом на atokyonews[.]com. Це дозволило зловмисникам поширити зловмисне програмне забезпечення серед членів команди Radiant, отримуючи глибший доступ до конфіденційних систем.
Кульмінацією стратегії хакерів стала атака «людина посередині» (MITM). Використовуючи скомпрометовані пристрої, вони перехоплювали та маніпулювали запитами на транзакції в гаманцях Radiant Gnosis Safe Multisig. Незважаючи на те, що транзакції здавалися розробникам законними, зловмисне програмне забезпечення приховано змінило їх для виконання виклику передачі права власності, захопивши контроль над контрактами на пул позик Radiant.
Виконання пограбування, наслідки для галузі та отримані уроки
Незважаючи на те, що Radiant дотримується найкращих практик, таких як використання апаратних гаманців, симуляції транзакцій та інструментів перевірки, методи зловмисників обійшли всі засоби захисту. За кілька хвилин після отримання права власності хакери вичерпали кошти з кредитних пулів Radiant, залишивши платформу та її користувачів у занепокоєнні.
Злом Radiant Capital є суворим попередженням для індустрії DeFi. Навіть проекти, які дотримуються суворих стандартів безпеки, можуть стати жертвами досвідчених загроз. Інцидент виявив критичні вразливості, зокрема:
- Ризики фішингу: Атака почалася з переконливої схеми видавання себе за іншу особу, наголошуючи на необхідності підвищеної пильності проти небажаного обміну файлами.
- Сліпе підписування: Хоча це важливо, апаратні гаманці часто відображають лише основні відомості про транзакції, що ускладнює для користувачів виявлення шкідливих модифікацій. Покращені рішення на апаратному рівні необхідні для декодування та перевірки корисних даних транзакцій.
- Внутрішня безпека: опора на зовнішні інтерфейси для перевірки транзакцій виявилася недостатньою. Підроблені інтерфейси дозволяли хакерам непомічено маніпулювати даними транзакцій.
- Слабкі сторони управління: відсутність механізмів для скасування передачі права власності робила контракти Radiant вразливими. Впровадження блокування часу або вимога відстрочених переказів коштів може забезпечити критичний час реакції на майбутні інциденти.
У відповідь на порушення Radiant Capital залучила провідні компанії з кібербезпеки, зокрема Mandiant, zeroShadow і Hypernative. Ці фірми допомагають у розслідуванні та поверненні активів. Radiant DAO також співпрацює з правоохоронними органами США, щоб відстежити та заморозити викрадені кошти.
У публікації Medium Radiant також підтвердив свою відданість обміну отриманими уроками та підвищенню безпеки в галузі DeFi. DAO наголосив на важливості прийняття надійних структур управління, посилення безпеки на рівні пристрою та відмови від ризикованих практик, таких як сліпий підпис.
«Схоже, усе могло зупинитися на кроці 1», — прокоментував один користувач X.
Інцидент із Radiant Capital узгоджується з нещодавнім звітом, у якому показано, як північнокорейські хакери продовжують змінна тактика. Оскільки кіберзлочинці стають все більш досвідченими, галузь повинна адаптуватися, віддаючи пріоритет прозорості, надійним заходам безпеки та спільним зусиллям для боротьби з такими атаками.
