Надійний

Хакери з Північної Кореї викрали $50 мільйонів з Radiant Capital

3 хв
Оновлено Lockridge Okoth

Коротко

  • Складні фішингові та шкідливі атаки хакерів з КНДР використовували вразливості DeFi.
  • Попри найкращі практики, зловмисники маніпулювали смарт-контрактами та апаратними гаманцями, щоб вкрасти кошти.
  • Ризики фішингу, недоліки сліпого підпису та прогалини в управлінні підкреслюють нагальну потребу в сильніших заходах безпеки.

16 жовтня 2024 року Radiant Capital, децентралізований протокол кредитування на LayerZero, зазнав складної кібератаки, що призвела до втрати $50 мільйонів.

Атаку пов’язали з північнокорейськими хакерами, що стало ще одним тривожним випадком у зростаючій хвилі кіберзлочинів, спрямованих на децентралізовані фінанси (DeFi).

Звіт від OneKey, виробника апаратних криптогаманців, підтриманого Coinbase, приписує атаку північнокорейським хакерам. Звіт базується на публікації Radiant Capital, яка надала оновлення про атаку 16 жовтня.

Компанія Mandiant, провідна фірма з кібербезпеки, також пов’язала злом з групою UNC4736, відомою як AppleJeus або Citrine Sleet. Ця група діє під керівництвом Головного розвідувального бюро (RGB) Північної Кореї.

Розслідування Mandiant показало, що нападники ретельно планували свою операцію. Вони розмістили шкідливі смарт-контракти на різних блокчейн-мережах, включаючи Arbitrum, Binance Smart Chain, Base та Ethereum. Це свідчить про високий рівень підготовки загроз, підтримуваних Північною Кореєю, у сфері DeFi.

Злом почався з фішингової атаки 11 вересня 2024 року. Розробник Radiant Capital отримав повідомлення в Telegram від особи, яка видавала себе за надійного підрядника. Повідомлення містило zip-файл, нібито з аудиторським звітом смарт-контракту. Цей файл, «Penpie_Hacking_Analysis_Report.zip», містив шкідливе ПЗ INLETDRIFT, яке дало несанкціонований доступ до систем Radiant.

Коли розробник відкрив файл, він виглядав як справжній PDF. Однак шкідливе ПЗ непомітно встановилося, створивши з’єднання з шкідливим доменом на atokyonews[.]com. Це дозволило нападникам поширити шкідливе ПЗ серед членів команди Radiant, отримуючи глибший доступ до чутливих систем.

Стратегія хакерів завершилася атакою «людина посередині» (MITM). Використовуючи скомпрометовані пристрої, вони перехоплювали та маніпулювали запитами на транзакції в мультипідписних гаманцях Gnosis Safe Radiant. Хоча транзакції здавалися легітимними для розробників, шкідливе ПЗ таємно змінювало їх, щоб виконати виклик Transfer Ownership, захоплюючи контроль над контрактами кредитного пулу Radiant.

Виконання пограбування, наслідки для індустрії та уроки

Незважаючи на дотримання Radiant найкращих практик, таких як використання апаратних гаманців, симуляції транзакцій та інструменти перевірки, методи нападників обійшли всі захисти. За кілька хвилин після отримання контролю хакери вивели кошти з кредитних пулів Radiant, залишивши платформу та її користувачів у шоку.

Злом Radiant Capital є серйозним попередженням для індустрії DeFi. Навіть проекти, що дотримуються суворих стандартів безпеки, можуть стати жертвами складних загроз. Інцидент виявив критичні вразливості, включаючи:

  • Ризики фішингу: Атака почалася з переконливої схеми імітації, підкреслюючи необхідність підвищеної пильності проти небажаного обміну файлами.
  • Сліпе підписання: Хоча апаратні гаманці важливі, вони часто показують лише основні деталі транзакцій, що ускладнює виявлення зловмисних змін. Потрібні покращені рішення на рівні апаратного забезпечення для декодування та перевірки транзакцій.
  • Безпека інтерфейсу: Залежність від інтерфейсів для перевірки транзакцій виявилася недостатньою. Підроблені інтерфейси дозволили хакерам непомітно маніпулювати даними транзакцій.
  • Слабкі місця управління: Відсутність механізмів для скасування передачі прав власності залишила контракти Radiant вразливими. Впровадження часових блокувань або вимога затримки переказу коштів може забезпечити критичний час для реакції в майбутніх інцидентах.

У відповідь на злом Radiant Capital залучив провідні фірми з кібербезпеки, включаючи Mandiant, zeroShadow та Hypernative. Ці фірми допомагають у розслідуванні та поверненні активів. Radiant DAO також співпрацює з правоохоронними органами США для відстеження та заморожування вкрадених коштів.

У публікації на Medium Radiant також підтвердив свою відданість обміну отриманими уроками та підвищенню безпеки в індустрії DeFi. DAO підкреслив важливість впровадження сильних управлінських структур, зміцнення безпеки на рівні пристроїв та відмови від ризикованих практик, таких як сліпе підписання.

«Здається, все могло зупинитися на першому кроці», – прокоментував один користувач на X.

Інцидент з Radiant Capital співпадає з нещодавнім звітом, який показав, як північнокорейські хакери продовжують змінювати тактику. Оскільки кіберзлочинці стають все більш досвідченими, індустрія повинна адаптуватися, надаючи пріоритет прозорості, сильним заходам безпеки та спільним зусиллям для боротьби з такими атаками.

Дисклеймер

Відповідно до принципів проєкту Trust Project, ця авторська стаття представляє точку зору автора і не обов'язково відображає погляди BeInCrypto. BeInCrypto залишається прихильником прозорої звітності та дотримання найвищих стандартів журналістики. Читачам рекомендується перевіряти інформацію самостійно і консультуватися з професіоналами, перш ніж приймати рішення на основі цього контенту. Зверніть увагу, що наші Загальні положення та умови, Полiтика конфіденційності та Дисклеймер були оновлені.

lockridge-okoth.png
Локрідж Окот є журналістом у BeInCrypto, зосереджуючись на видатних компаніях індустрії, таких як Coinbase, Binance та Tether. Він охоплює широкий спектр тем, включаючи регуляторні зміни у децентралізованих фінансах (DeFi), децентралізованих фізичних інфраструктурних мережах (DePIN), реальних активах (RWA), GameFi та криптовалютах. Раніше Локрідж проводив аналіз ринку та технічні оцінки цифрових активів, включаючи біткоїн та альткоїни, такі як Arbitrum, Polkadot та Polygon, у InsideBitcoins...
Прочитати повну біографію