- Radiant Capital понесла убытки в размере 50 млн долларов в результате кибератаки, приписываемой связанной с КНДР группировке UNC4736.
- Злоумышленники использовали сложное вредоносное ПО и социальную инженерию для обхода протоколов безопасности.
- Инцидент выявил критические уязвимости в системе безопасности DeFi и стал поводом для внедрения аппаратной проверки транзакций во всей отрасли.
Компания Radiant Capital подтвердила новые данные, касающиеся разрушительной кибератаки на сумму 50 миллионов долларов, которой она подверглась 16 октября 2024 года. Расследование, проведенное фирмой по кибербезопасности Mandiant, выявило злоумышленников как UNC4736, связанную с Северной Кореей группу угроз, связанную с Главным бюро разведки страны (RGB).
Это очередной тревожный рост изощренности кибератак, нацеленных на децентрализованные финансы (DeFi), свидетельствующий о срочной необходимости усиления мер безопасности в отрасли.
Как разворачивалась атака
Атака была запущена 11 сентября 2024 года, когда разработчик Radiant получил, казалось бы, обычное сообщение Telegram от кого-то, выдававшего себя за бывшего подрядчика. В сообщении был ZIP-файл, предположительно демонстрирующий работу подрядчика по аудиту смарт-контрактов. Но в нем содержалось сложное вредоносное ПО под названием INLETDRIFT.
Это вредоносное ПО, замаскированное под легитимный PDF-файл, устанавливало бэкдор macOS на устройстве жертвы и подключало его к внешнему домену, контролируемому злоумышленниками. В течение последующих недель UNC4736 развертывал вредоносные смарт-контракты в Arbitrum, Binance Smart Chain, Base и Ethereum, тщательно планируя ограбление.
Хотя Radiant следовал стандартным протоколам безопасности, таким как симуляции транзакций с использованием Tenderly и проверка полезной нагрузки, злоумышленники использовали уязвимости во фронтенд-интерфейсах для манипулирования данными транзакций. К моменту кражи хакеры хорошо скрыли свои действия, что сделало обнаружение практически невозможным.
Атрибуция и тактика
UNC4736, также известная как AppleJeus или Citrine Sleet, — известная группа угроз, связанная с TEMP.Hermit из КНДР. Группа занимается киберфинансовыми преступлениями, часто используя передовые методы социальной инженерии для проникновения в системы. Mandiant с большой долей уверенности приписывает эту атаку группе из-за использования ею тактики государственного уровня.
Украденные средства были переведены в течение нескольких минут после кражи, а все следы вредоносного ПО и расширений браузера, использованных во время атаки, были уничтожены.
Тревожный звонок для безопасности DeFi
Это нарушение подчеркивает уязвимости в текущих методах обеспечения безопасности DeFi, в частности, зависимость от слепой подписи и проверки транзакций на стороне клиента. Radiant Capital призвал к общеотраслевому переходу к проверке транзакций на уровне оборудования, чтобы предотвратить подобные инциденты.
Radiant DAO сотрудничает с Mandiant, zeroShadow, Hypernative и правоохранительными органами США, чтобы отслеживать и возвращать украденные средства. Усилия продолжаются, и организация планирует поделиться своими выводами для улучшения стандартов безопасности для более широкой криптоэкосистемы.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
