jakiro
作者:Stephen Katte,CoinTelegraph;編譯:陶朱,比特鏈視界
Radiant Capital 表示, 10 月份,其去中心化金融 (DeFi) 平臺遭到黑客攻擊,損失金額達 5000 萬美元,黑客通過 Telegram 發送惡意軟體,該惡意軟體由一名與朝鮮結盟的黑客冒充前承包商實施。
Radiant 在 12 月 6 日的調查更新中表示,其籤約的網絡安全公司 Mandiant 已評估「高度確信,此次攻擊是與朝鮮有聯繫的威脅行為者所為」。
該平臺表示,9 月 11 日,Radiant 的一名開發人員收到了一條 Telegram 消息,其中包含一個 zip 文件,來自一位「值得信賴的前承包商」,要求對他們正在計劃的新項目提供反饋。
「經審查,該消息被懷疑來自一名與朝鮮結盟的威脅行為者,冒充前承包商,」它說。 「這個 ZIP 文件在其他開發人員之間共享以徵求反饋時,最終傳播了惡意軟體,從而促成了後續入侵。」
10 月 16 日,一名黑客控制了多位籤名者的私鑰和智能合約,導致 DeFi 平臺被迫暫停借貸市場。 朝鮮黑客組織長期以來一直以加密貨幣平臺為目標,並在 2017 年至 2023 年期間竊取了價值 30 億美元的加密貨幣。
來源:Radiant Capital
Radiant 表示,該文件沒有引起任何其他懷疑,因為「在專業環境中,審查 PDF 的請求是常規做法」,而開發人員「經常以這種格式共享文檔」。
與 ZIP 文件關聯的域也欺騙了承包商的合法網站。
多臺 Radiant 開發人員設備在攻擊期間受到攻擊,前端界面顯示良性交易數據,而惡意交易則在後臺籤名。
「傳統的檢查和模擬沒有顯示出明顯的差異,使得威脅在正常審查階段幾乎不可見,」它補充道。
「這種欺騙是如此天衣無縫地進行,即使採用 Radiant 的標準最佳實踐,例如在 Tenderly 中模擬交易、驗證有效載荷數據以及在每一步都遵循行業標準 SOP,攻擊者仍能夠入侵多臺開發人員設備,」Radiant 寫道。
惡意黑客組織可能使用的釣魚 PDF 示例。來源:Radiant Capital
Radiant Capital 認為,負責此案的威脅行為者被稱為「UNC4736」,也稱為「Citrine Sleet」——據信與朝鮮主要情報機構偵察總局 (RGB) 有聯繫,並推測是黑客組織 Lazarus Group 的一個分支。
黑客在 10 月 24 日轉移了約 5200 萬美元的被盜資金。
「這起事件表明,即使是嚴格的 SOP、硬體錢包、Tenderly 等模擬工具和仔細的人工審查,也可能被非常先進的威脅行為者繞過,」Radiant Capital 在其更新中寫道。
「對可能被欺騙的盲籤名和前端驗證的依賴要求開發更強大的硬體級解決方案來解碼和驗證交易有效負載,」它補充道。
這不是Radiant今年第一次受到攻擊。該平臺在1月份因450萬美元的閃電貸漏洞而暫停了借貸市場。
根據DefiLlama的數據,在今年兩次漏洞利用之後,Radiant的總鎖定價值大幅下降,從去年年底的3億多美元降至12月9日的581萬美元左右。
