Radiant Capital заявила, что в октябре взлом ее платформы децентрализованного финансирования (DeFi) на сумму 50 миллионов долларов был осуществлен с помощью вредоносного ПО, отправленного через Telegram хакером, связанным с Северной Кореей, выдававшим себя за бывшего подрядчика.
В сообщении от 6 декабря о продолжающемся расследовании компания Radiant заявила, что ее контрактная фирма по кибербезопасности Mandiant «с высокой степенью уверенности оценила, что эта атака связана с угрозой, связанной с Корейской Народно-Демократической Республикой (КНДР)».
Платформа сообщила, что 11 сентября разработчик Radiant получил сообщение в Telegram с zip-файлом от «доверенного бывшего подрядчика» с просьбой оставить отзыв о новом начинании, которое они планировали.
«После проверки можно предположить, что это сообщение исходило от связанного с КНДР злоумышленника, выдававшего себя за бывшего подрядчика», — говорится в сообщении. «Этот ZIP-файл, переданный другим разработчикам для обратной связи, в конечном итоге доставил вредоносное ПО, которое облегчило последующее вторжение».
16 октября платформа DeFi была вынуждена остановить работу своих рынков кредитования после того, как хакер получил контроль над закрытыми ключами и смарт-контрактами нескольких подписантов.12 ноября северокорейские хакерские группы были пойманы на преследовании пользователей macOS с помощью новой вредоносной кампании с использованием фишинговых писем, поддельных PDF-приложений и техники обхода проверок безопасности Apple. В октябре северокорейские хакеры также были пойманы на использовании уязвимости в Google Chrome. для кражи учетных данных криптовалютного кошелька.
В Radiant заявили, что файл не вызвал никаких других подозрений, поскольку «запросы на просмотр PDF-файлов являются обычным делом в профессиональных условиях», а разработчики «часто делятся документами в этом формате».
Домен, связанный с ZIP-файлом, также подделывал законный веб-сайт подрядчика.
Во время атаки были скомпрометированы несколько устройств разработчиков Radiant, а внешние интерфейсы отображали безопасные данные транзакций, в то время как вредоносные транзакции подписывались в фоновом режиме.
«Традиционные проверки и моделирование не выявили очевидных несоответствий, что сделало угрозу практически невидимой на обычных этапах проверки», — добавили в нем.
«Этот обман был осуществлен настолько гладко, что даже с использованием стандартных передовых методов Radiant, таких как моделирование транзакций в Tenderly, проверка данных полезной нагрузки и следование стандартным SOP на каждом этапе, злоумышленники смогли скомпрометировать несколько устройств разработчиков», — пишет Radiant..
Radiant Capital полагает, что ответственный за угрозу злоумышленник известен как «UNC4736», который также известен как «Citrine Sleet» — предположительно связан с главным разведывательным агентством Северной Кореи, Генеральным разведывательным управлением (RGB), и предположительно является подразделениемкластер хакерского коллектива Lazarus Group.
Хакеры перевезли около 52 миллионов долларов из украденных в результате инцидента 24 октября средств.
«Этот инцидент демонстрирует, что даже самые строгие СОПы, аппаратные кошельки, инструменты моделирования, такие как Tenderly, и тщательная человеческая проверка могут быть обойдены высокоразвитыми злоумышленниками», — пишет Radiant Capital в своем обновлении.
Связанный: Radiant Capital за 58 миллионов долларов — дорогой «урок» для DeFi
«Зависимость от слепой подписи и внешних проверок, которые можно подделать, требует разработки более мощных решений на аппаратном уровне для декодирования и проверки полезных данных транзакций», — добавили в компании.
Это не первый случай взлома Radiant в этом году. Платформа остановила кредитные рынки в январе после взлома срочного кредита на сумму 4,5 миллиона долларов.
По данным DefiLlama, после двух эксплойтов в этом году общая заблокированная стоимость Radiant значительно упала: с более чем 300 миллионов долларов в конце прошлого года до примерно 5,81 миллиона долларов по состоянию на 9 декабря.
