Radiant Capital заявила, що в жовтні зламали її платформу децентралізованого фінансування (DeFi) на 50 мільйонів доларів за допомогою зловмисного програмного забезпечення, надісланого через Telegram від хакера, пов’язаного з Північною Кореєю, який видавав себе за колишнього підрядника.
В оновленому звіті про поточне розслідування від 6 грудня Radiant повідомила, що фірма з кібербезпеки Mandiant, за якою вона співпрацює, «з високою впевненістю оцінила, що цю атаку можна віднести до загрозливої особи Корейської Народно-Демократичної Республіки (КНДР)».
Платформа повідомила, що 11 вересня розробник Radiant отримав повідомлення Telegram із zip-файлом від «надійного колишнього підрядника» з проханням надіслати відгук про нову справу, яку вони планували.
«Після перевірки було з’ясовано, що це повідомлення надійшло від загрозливого суб’єкта, пов’язаного з КНДР, який видає себе за колишнього підрядника», – йдеться в повідомленні. «Цей ZIP-файл, який надіслали іншим розробникам для отримання відгуків, зрештою доставив зловмисне програмне забезпечення, яке сприяло подальшому вторгненню».
16 жовтня платформа DeFi була змушена припинити свої ринки кредитування після того, як хакер отримав контроль над приватними ключами та смарт-контрактами кількох підписувачів.12 листопада хакерські групи Північної Кореї були спіймані на переслідуванні користувачів macOS за допомогою нової кампанії зловмисного програмного забезпечення з використанням фішингових електронних листів, підроблених PDF-додатків і техніки для ухилення від перевірок безпеки Apple. У жовтні північнокорейські хакери також були спіймані на використанні вразливості в Chrome Google.щоб викрасти облікові дані гаманця криптовалюти.
Radiant сказав, що файл не викликав жодних інших підозр, оскільки «запити на перегляд PDF-файлів є звичайною справою в професійних умовах», а розробники «часто діляться документами в цьому форматі».
Домен, пов’язаний із файлом ZIP, також підробляв законний веб-сайт підрядника.
Кілька пристроїв розробника Radiant було зламано під час атаки, і зовнішні інтерфейси відображали доброякісні дані транзакцій, тоді як зловмисні транзакції підписувалися у фоновому режимі.
«Традиційні перевірки та моделювання не показали очевидних розбіжностей, що робить загрозу практично невидимою на звичайних етапах перевірки», — додали в ньому.
«Цей обман був здійснений настільки бездоганно, що навіть із застосуванням стандартних найкращих практик Radiant, таких як симуляція транзакцій у Tenderly, перевірка даних корисного навантаження та дотримання галузевих стандартів SOP на кожному кроці, зловмисники змогли скомпрометувати кілька пристроїв розробників», — написав Radiant..
Radiant Capital вважає, що відповідальний за загрозу відомий як «UNC4736», який також відомий як «Citrine Sleet» — вважається, що він пов’язаний з головним розвідувальним агентством Північної Кореї, Генеральним розвідувальним бюро (RGB), і припускають, що він є суб-агентом. кластер хакерського колективу Lazarus Group.
Хакери перевели близько 52 мільйонів доларів з викрадених коштів в результаті інциденту 24 жовтня.
«Цей інцидент демонструє, що навіть суворі SOP, апаратні гаманці, інструменти моделювання, такі як Tenderly, і ретельний людський аналіз можуть бути обійдені високорозвиненими загрозниками», — пише Radiant Capital у своєму оновленні.
За темою: Radiant Capital 58 мільйонів доларів зламав дорогий «урок» для DeFi
«Покладення на сліпе підписання та зовнішні перевірки, які можна підробити, вимагає розробки більш потужних рішень на апаратному рівні для декодування та перевірки корисних даних транзакцій», — додали в ньому.
Це не перший випадок, коли Radiant було скомпрометовано цього року. Платформа призупинила ринки кредитування в січні після експлойту термінової позики на 4,5 мільйона доларів.
За даними DefiLlama, після двох експлойтів цього року загальна заблокована вартість Radiant значно впала з понад 300 мільйонів доларів наприкінці минулого року до приблизно 5,81 мільйона доларів станом на 9 грудня.
