$50 Million na Hack sa Radiant Capital, Natunton sa North Korean Cybercriminals

Noong October 16, 2024, ang Radiant Capital, isang decentralized cross-chain lending protocol na nakabase sa LayerZero, ay naging biktima ng isang napaka-sopistikadong cyberattack na nagresulta sa nakakalulang $50 million na pagkawala.

Ang pag-atake ay na-link sa mga hacker mula sa North Korea, na nagmamarka ng isa pang nakakabahalang kabanata sa lumalaking alon ng cybercrime na tumatarget sa decentralized finance (DeFi).

Ulat Nag-uugnay sa North Korean Actors sa Radiant Capital Incident

Isang ulat mula sa OneKey, isang Coinbase-backed crypto hardware wallet manufacturer, ang nag-attribute ng pag-atake sa mga hacker mula sa North Korea. Ang ulat na ito ay nagmula sa isang kamakailang medium post na ibinahagi ng Radiant Capital, na nagbigay ng update sa insidente noong October 16 attack.

Ayon sa ulat, ang Mandiant, isang nangungunang cybersecurity firm, ay nag-link pa sa breach sa UNC4736, isang grupo na kaalyado ng DPRK na kilala rin bilang AppleJeus o Citrine Sleet. Ang grupong ito ay nag-ooperate sa ilalim ng Reconnaissance General Bureau (RGB), ang pangunahing intelligence agency ng North Korea.

Natuklasan ng imbestigasyon ng Mandiant na maingat na pinlano ng mga attacker ang kanilang operasyon. Nag-stage sila ng mga malicious smart contract sa iba’t ibang blockchain networks, kasama ang Arbitrum, Binance Smart Chain, Base, at Ethereum. Ang mga hakbang na ito ay nagpapakita ng advanced na kakayahan ng mga DPRK-backed threat actors sa pagtutok sa DeFi sector.

Nagsimula ang breach sa isang kalkuladong phishing attack noong September 11, 2024. Isang developer ng Radiant Capital ang nakatanggap ng Telegram message mula sa isang indibidwal na nagpapanggap na isang pinagkakatiwalaang contractor. Ang mensahe ay may kasamang zip file na diumano’y naglalaman ng smart contract audit report. Ang file na ito, “Penpie_Hacking_Analysis_Report.zip,” ay may kasamang malware na kilala bilang INLETDRIFT, isang macOS backdoor na nagbigay-daan sa hindi awtorisadong access sa mga sistema ng Radiant.

Nang buksan ng developer ang file, ito ay nagmukhang may lehitimong PDF. Pero, tahimik na nag-install ang malware, nagtatag ng backdoor connection sa isang malicious domain sa atokyonews[.]com. Pinayagan nito ang mga attacker na palaganapin pa ang malware sa mga miyembro ng team ng Radiant, na nagkakaroon ng mas malalim na access sa mga sensitibong sistema.

Ang estratehiya ng mga hacker ay nagresulta sa isang man-in-the-middle (MITM) attack. Sa pamamagitan ng pag-exploit sa mga compromised na device, na-intercept at na-manipulate nila ang mga transaction request sa loob ng Gnosis Safe Multisig wallets ng Radiant. Habang mukhang lehitimo ang mga transaction sa mga developer, lihim na binago ng malware ang mga ito para mag-execute ng transfer Ownership call, kinukuha ang kontrol sa mga lending pool contract ng Radiant.

Paano Inexecute ang Heist, Mga Epekto sa Industriya, at Mga Natutunan

Kahit na sumunod ang Radiant sa best practices, tulad ng paggamit ng hardware wallets, transaction simulations, at verification tools, na-bypass ng mga attacker ang lahat ng depensa. Sa loob ng ilang minuto matapos makuha ang ownership, dinrain ng mga hacker ang pondo mula sa mga lending pools ng Radiant, na nag-iwan sa platform at mga user nito na naguguluhan.

Ang hack sa Radiant Capital ay nagsisilbing matinding babala sa DeFi industry. Kahit na ang mga proyektong sumusunod sa mahigpit na security standards ay maaaring mabiktima ng mga sopistikadong threat actors. Ang insidente ay nag-highlight ng mga kritikal na kahinaan, kabilang ang:

• Phishing Risks: Nagsimula ang pag-atake sa isang mapanlinlang na impersonation scheme, na nag-eemphasize sa pangangailangan ng mas mataas na pag-iingat laban sa unsolicited file sharing.
• Blind Signing: Bagamat mahalaga, madalas na ipinapakita ng hardware wallets ang basic na detalye ng transaction lang, na nagpapahirap sa mga user na ma-detect ang malicious modifications. Kailangan ng mas mahusay na hardware-level solutions para ma-decode at ma-validate ang transaction payloads.
• Front-End Security: Ang pag-asa sa front-end interfaces para sa transaction verification ay napatunayang hindi sapat. Ang mga spoofed interfaces ay nagbigay-daan sa mga hacker na ma-manipulate ang transaction data nang hindi natutuklasan.
• Governance Weaknesses: Ang kawalan ng mekanismo para i-revoke ang ownership transfers ay nag-iwan sa mga kontrata ng Radiant na vulnerable. Ang pag-implement ng time locks o pag-require ng delayed fund transfers ay maaaring magbigay ng kritikal na oras para makapag-react sa mga susunod na insidente.

Bilang tugon sa breach, nakipag-ugnayan ang Radiant Capital sa mga nangungunang cybersecurity firms, kabilang ang Mandiant, zeroShadow, at Hypernative. Ang mga firm na ito ay tumutulong sa imbestigasyon at asset recovery. Nakikipagtulungan din ang Radiant DAO sa US law enforcement para ma-trace at ma-freeze ang mga ninakaw na pondo.

Sa Medium post, muling pinagtibay ng Radiant ang kanilang commitment sa pag-share ng mga natutunan at pagpapahusay ng seguridad sa DeFi industry. Binibigyang-diin ng DAO ang kahalagahan ng pag-adopt ng malalakas na governance frameworks, pagpapalakas ng device-level security, at pag-iwas sa mga mapanganib na practices tulad ng blind signing.

“Mukhang puwedeng natigil na sa step 1,” isang user sa X ang nagkomento.

Ang insidente sa Radiant Capital ay umaayon sa isang kamakailang ulat, na nagpakita kung paano patuloy na nagbabago ng taktika ang mga hacker mula sa North Korea. Habang nagiging mas sopistikado ang mga cybercriminal, kailangang mag-adapt ng industriya sa pamamagitan ng pag-prioritize ng transparency, malalakas na security measures, at collaborative efforts para labanan ang ganitong mga pag-atake.