- A Radiant Capital sofreu uma perda de US$ 50 milhões em um ataque cibernético atribuído ao grupo UNC4736 ligado à RPDC.
- Os invasores usaram malware sofisticado e engenharia social para contornar os protocolos de segurança.
- O incidente destaca vulnerabilidades críticas na segurança DeFi, pedindo a adoção da verificação de transações em nível de hardware em todo o setor.
A Radiant Capital confirmou novas descobertas em torno do devastador ataque cibernético de US$ 50 milhões que sofreu em 16 de outubro de 2024. Uma investigação da empresa de segurança cibernética Mandiant identificou os invasores como UNC4736, um grupo de ameaças ligado à Coreia do Norte conectado ao Reconnaissance General Bureau (RGB) do país.
Este é outro aumento alarmante na sofisticação dos ataques cibernéticos direcionados às finanças descentralizadas (DeFi), mostrando a necessidade urgente de medidas de segurança mais fortes no setor.
Como o ataque se desenrolou
O ataque foi iniciado em 11 de setembro de 2024, quando um desenvolvedor do Radiant recebeu uma mensagem aparentemente normal do Telegram de alguém se passando por um ex-contratado. A mensagem tinha um arquivo ZIP, supostamente mostrando o trabalho do contratado na auditoria de contratos inteligentes. Mas continha um malware sofisticado chamado INLETDRIFT.
Esse malware, disfarçado como um arquivo PDF legítimo, estabeleceu um backdoor do macOS no dispositivo da vítima e o conectou a um domínio externo controlado pelos invasores. Nas semanas seguintes, UNC4736 implantou contratos inteligentes maliciosos na Arbitrum, Binance Smart Chain, Base e Ethereum, planejando meticulosamente o roubo.
Embora a Radiant seguisse protocolos de segurança padrão, como simulações de transações usando Tenderly e verificação de carga útil, os invasores usaram vulnerabilidades em interfaces front-end para manipular dados de transações. No momento em que o roubo aconteceu, os hackers haviam ocultado bem suas ações, tornando a detecção quase impossível.
Atribuição e táticas
UNC4736, também conhecido como AppleJeus ou Citrine Sleet, é um conhecido grupo de ameaças ligado ao TEMP da RPDC. Eremita. O grupo se concentra em crimes financeiros cibernéticos, muitas vezes usando técnicas de engenharia social altamente avançadas para se infiltrar nos sistemas. A Mandiant atribui esse ataque ao grupo com alta confiança, por causa do uso de táticas em nível estadual.
(adsbygoogle = window.adsbygoogle || []).push({});Os fundos roubados foram movidos minutos após o roubo, e todos os vestígios de malware e extensões de navegador usados durante o ataque foram apagados.
Um alerta para a segurança DeFi
Essa violação destaca as vulnerabilidades nas práticas atuais de segurança DeFi , particularmente a dependência de assinatura cega e verificações de transações front-end. A Radiant Capital pediu uma mudança em todo o setor em direção à verificação de transações em nível de hardware para evitar incidentes semelhantes.
A Radiant DAO está trabalhando com a Mandiant, zeroShadow, Hypernative e as autoridades dos EUA para rastrear e recuperar os fundos roubados. Os esforços continuam e a organização planeja compartilhar suas descobertas para melhorar os padrões de segurança para o ecossistema cripto mais amplo.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
