Radiant: Triều Tiên mạo danh cựu nhà thầu trong vụ hack 50 triệu USD

Tác giả: Stephen Katte, CoinTelegraph; Người biên soạn: Tao Zhu, Golden Finance

Radiant Capital cho biết, 10 Vào tháng 3, nền tảng tài chính phi tập trung (DeFi) của nó đã bị tin tặc tấn công, với thiệt hại lên tới 50 triệu USD. Phần mềm độc hại được phát tán được thực hiện bởi một hacker thân Bắc Triều Tiên giả dạng là một nhà thầu cũ.

Radiant cho biết trong bản cập nhật điều tra ngày 6 tháng 12 rằng công ty an ninh mạng Mandiant theo hợp đồng của họ đã đánh giá "mức độ tin cậy cao rằng cuộc tấn công là mối đe dọa liên quan đến Triều Tiên". diễn viên làm gì”.

Nền tảng này cho biết vào ngày 11 tháng 9, một nhà phát triển Radiant đã nhận được tin nhắn Telegram chứa tệp zip từ một "nhà thầu cũ đáng tin cậy" yêu cầu cung cấp thông tin về công việc họ đang thực hiện.

“Sau khi xem xét, tin nhắn này bị nghi ngờ đến từ một kẻ đe dọa liên kết với Triều Tiên đóng giả là một kẻ đe dọa kinh doanh nhà thầu cũ," nó nói. "Khi tệp ZIP này được chia sẻ giữa các nhà phát triển khác để lấy ý kiến ​​phản hồi, nó đã phát tán phần mềm độc hại, tạo điều kiện cho các cuộc xâm nhập tiếp theo."

Ngày 16 tháng 10, Một hacker đã chiếm quyền kiểm soát tệp ZIP này. khóa riêng và hợp đồng thông minh của nhiều người ký, khiến nền tảng DeFi buộc phải tạm dừng thị trường cho vay. Nhóm hack Triều Tiên từ lâu đã nhắm mục tiêu vào các nền tảng tiền điện tử và đánh cắp số tiền điện tử trị giá 3 tỷ USD từ năm 2017 đến năm 2023.

Nguồn: Radiant Capital

Radiant cho biết tài liệu này không gây ra bất kỳ nghi ngờ nào khác vì "yêu cầu xem xét các tệp PDF là thông lệ trong thực tiễn cài đặt chuyên nghiệp" và các nhà phát triển "thường chia sẻ tài liệu ở định dạng này."

Các miền được liên kết với tệp ZIP cũng giả mạo các trang web hợp pháp của nhà thầu.

Nhiều thiết bị của nhà phát triển Radiant đã bị xâm phạm trong cuộc tấn công, với giao diện ngoại vi hiển thị dữ liệu giao dịch vô hại trong khi các giao dịch độc hại được ký ở chế độ nền.

"Các cuộc kiểm tra và mô phỏng truyền thống cho thấy không có sự khác biệt đáng kể, khiến mối đe dọa gần như vô hình trong giai đoạn xem xét thông thường", nó nói thêm.

“Việc lừa dối diễn ra liền mạch đến mức ngay cả khi sử dụng các phương pháp hay nhất theo tiêu chuẩn của Radiant, chẳng hạn như mô phỏng các giao dịch trong Tenderly, xác thực dữ liệu tải trọng và tuân theo các SOP tiêu chuẩn ngành trong từng bước, những kẻ tấn công vẫn có khả năng xâm phạm nhiều thiết bị dành cho nhà phát triển", Radiant viết.

Ví dụ về các tệp PDF lừa đảo mà các nhóm tin tặc độc hại có thể sử dụng. Nguồn: Radiant Capital

Radiant Capital tin rằng kẻ đe dọa chịu trách nhiệm cho vụ việc này được biết đến với cái tên "UNC4736", còn được gọi là "Citrine Sleet" - được cho là có liên quan đến hoạt động trinh sát của chính quyền Bắc Triều Tiên cơ quan tình báo General Bureau (RGB) liên hệ và được cho là một nhánh của nhóm hacker Lazarus Group.

Tin tặc đã chuyển khoảng 52 triệu USD số tiền bị đánh cắp vào ngày 24 tháng 10.

“Sự cố này chứng tỏ rằng ngay cả các SOP nghiêm ngặt, ví phần cứng, công cụ mô phỏng như Tenderly và sự đánh giá cẩn thận của con người cũng có thể bị các tác nhân đe dọa rất tiên tiến vượt qua,” Radiant Capital cho biết trong bản cập nhật của mình.

"Sự phụ thuộc vào chữ ký mù và xác minh giao diện người dùng có thể bị giả mạo đòi hỏi phải phát triển các giải pháp cấp phần cứng mạnh mẽ hơn để giải mã và xác minh tải trọng giao dịch", nó nói thêm.

Đây không phải là lần đầu tiên Radiant bị tấn công trong năm nay. Nền tảng này đã đình chỉ thị trường cho vay vào tháng 1 do vi phạm khoản vay nhanh 4,5 triệu USD.

Sau hai lần khai thác trong năm nay, tổng giá trị bị khóa của Radiant đã giảm đáng kể, từ hơn 300 triệu USD vào cuối năm ngoái xuống còn khoảng 5,81 triệu USD vào ngày 9 tháng 12, theo dữ liệu của DefiLlama.