- Radiant Capital a subi une perte de 50 millions de dollars lors d’une cyberattaque attribuée au groupe UNC4736 lié à la RPDC.
- Les attaquants ont utilisé des logiciels malveillants sophistiqués et de l’ingénierie sociale pour contourner les protocoles de sécurité.
- L’incident met en évidence des vulnérabilités critiques dans la sécurité de la DeFi, encourageant l’adoption de la vérification des transactions au niveau matériel dans l’ensemble du secteur.
Radiant Capital a confirmé de nouvelles découvertes concernant la cyberattaque dévastatrice de 50 millions de dollars qu’elle a subie le 16 octobre 2024. Une enquête de la société de cybersécurité Mandiant a identifié les attaquants comme étant UNC4736, un groupe de menaces lié à la Corée du Nord et lié au Bureau général de reconnaissance (RGB) du pays.
Il s’agit d’une nouvelle augmentation alarmante de la sophistication des cyberattaques ciblant la finance décentralisée (DeFi), ce qui montre le besoin urgent de mesures de sécurité plus strictes dans le secteur.
Comment s’est déroulé l’attaque
L’attaque a été lancée le 11 septembre 2024, lorsqu’un développeur de Radiant a reçu un message Telegram apparemment normal de la part d’une personne se faisant passer pour un ancien entrepreneur. Le message contenait un fichier ZIP, censé présenter le travail de l’entrepreneur dans l’audit des contrats intelligents. Mais il contenait un logiciel malveillant sophistiqué appelé INLETDRIFT.
Ce logiciel malveillant, déguisé en fichier PDF légitime, a établi une porte dérobée macOS sur l’appareil de la victime et l’a connectée à un domaine externe contrôlé par les attaquants. Au cours des semaines suivantes, UNC4736 déployé des contrats intelligents malveillants sur Arbitrum, Binance Smart Chain, Base et Ethereum, planifiant méticuleusement le braquage.
Bien que Radiant ait suivi les protocoles de sécurité standard, tels que les simulations de transaction à l’aide de Tenderly et la vérification de la charge utile, les attaquants ont utilisé des vulnérabilités dans les interfaces frontales pour manipuler les données de transaction. Au moment où le vol s’est produit, les pirates avaient bien dissimulé leurs actions, rendant la détection presque impossible.
Attribution et tactiques
UNC4736, également connu sous le nom d’AppleJeus ou Citrine Sleet, est un groupe de menaces bien connu lié à la TEMP de la RPDC. Ermite. Le groupe se concentre sur la cybercriminalité financière, utilisant souvent des techniques d’ingénierie sociale très avancées pour infiltrer les systèmes. Mandiant attribue cette attaque au groupe avec une grande confiance, en raison de leur utilisation de tactiques au niveau de l’État.
(adsbygoogle = window.adsbygoogle || []).push({});Les fonds volés ont été déplacés dans les minutes qui ont suivi le vol, et toutes les traces de logiciels malveillants et d’extensions de navigateur utilisées pendant l’attaque ont été effacées.
Un signal d’alarme pour la sécurité de la DeFi
Cette violation met en évidence les vulnérabilités des pratiques actuelles de sécurité de la DeFi , en particulier le recours à la signature aveugle et aux vérifications des transactions en amont. Radiant Capital a appelé à un changement à l’échelle de l’industrie vers la vérification des transactions au niveau du matériel afin d’éviter des incidents similaires.
Radiant DAO travaille avec Mandiant, zeroShadow, Hypernative et les forces de l’ordre américaines pour suivre et récupérer les fonds volés. Les efforts se poursuivent et l’organisation prévoit de partager ses conclusions afin d’améliorer les normes de sécurité pour l’écosystème crypto au sens large.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
