作者:Stephen Katte,CoinTelegraph;編譯:陶朱,金色財經
Radiant Capital 表示,10 月份,其去中心化金融 (DeFi) 平台遭到黑客攻擊,損失金額達 5000 萬美元,黑客通過 Telegram 發送惡意軟件,該惡意軟件由一名與朝鮮結盟的黑客冒充前承包商實施。
Radiant 在 12 月 6 日的調查更新中表示,其籤約的網絡安全公司 Mandiant 已評估“高度確信,此次攻擊是與朝鮮有聯系的威脅行爲者所爲”。
該平台表示,9 月 11 日,Radiant 的一名开發人員收到了一條 Telegram 消息,其中包含一個 zip 文件,來自一位“值得信賴的前承包商”,要求對他們正在計劃的新項目提供反饋。
“經審查,該消息被懷疑來自一名與朝鮮結盟的威脅行爲者,冒充前承包商,”它說。 “這個 ZIP 文件在其他开發人員之間共享以徵求反饋時,最終傳播了惡意軟件,從而促成了後續入侵。”
10 月 16 日,一名黑客控制了多位籤名者的私鑰和智能合約,導致 DeFi 平台被迫暫停借貸市場。朝鮮黑客組織長期以來一直以加密貨幣平台爲目標,並在 2017 年至 2023 年期間竊取了價值 30 億美元的加密貨幣。
來源:Radiant Capital
Radiant 表示,該文件沒有引起任何其他懷疑,因爲“在專業環境中,審查 PDF 的請求是常規做法”,而开發人員“經常以這種格式共享文檔”。
與 ZIP 文件關聯的域也欺騙了承包商的合法網站。
多台 Radiant 开發人員設備在攻擊期間受到攻擊,前端界面顯示良性交易數據,而惡意交易則在後台籤名。
“傳統的檢查和模擬沒有顯示出明顯的差異,使得威脅在正常審查階段幾乎不可見,”它補充道。
“這種欺騙是如此天衣無縫地進行,即使採用 Radiant 的標准最佳實踐,例如在 Tenderly 中模擬交易、驗證有效載荷數據以及在每一步都遵循行業標准 SOP,攻擊者仍能夠入侵多台开發人員設備,”Radiant 寫道。
惡意黑客組織可能使用的釣魚 PDF 示例。來源:Radiant Capital
Radiant Capital 認爲,負責此案的威脅行爲者被稱爲“UNC4736”,也稱爲“Citrine Sleet”——據信與朝鮮主要情報機構偵察總局 (RGB) 有聯系,並推測是黑客組織 Lazarus Group 的一個分支。
黑客在 10 月 24 日轉移了約 5200 萬美元的被盜資金。
“這起事件表明,即使是嚴格的 SOP、硬件錢包、Tenderly 等模擬工具和仔細的人工審查,也可能被非常先進的威脅行爲者繞過,”Radiant Capital 在其更新中寫道。
“對可能被欺騙的盲籤名和前端驗證的依賴要求开發更強大的硬件級解決方案來解碼和驗證交易有效負載,”它補充道。
這不是Radiant今年第一次受到攻擊。該平台在1月份因450萬美元的閃電貸漏洞而暫停了借貸市場。
根據DefiLlama的數據,在今年兩次漏洞利用之後,Radiant的總鎖定價值大幅下降,從去年年底的3億多美元降至12月9日的581萬美元左右。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。