أحدث الاختراق الذي بلغت قيمته 50 مليون دولار صدمة في مجتمع التمويل اللامركزي (defi) حيث تم استنزاف الأموال المخوَّلة لمشاريع مختلفة بالكامل.
اختراق Radiant Capital: كيف استخدم القراصنة ملف PDF لسرقة 50 مليون دولار
نُشر هذا المقال قبل أكثر من عام. قد لا تكون بعض المعلومات حديثة.
بقلم
مشاركة
اختراق بقيمة 50 مليون دولار إنذار حاد لقطاع التمويل اللامركزي
كشف تعقيد ودقة هجوم حديث على “Radiant Capital”، وهو بروتوكول إقراض لامركزي متعدد السلاسل مبني على Layerzero، عن طبقة أخرى من نقاط الضعف، حتى في مشاريع التمويل اللامركزي المحمية جيداً.
في 16 أكتوبر، تعرضت “Radiant Capital” لاختراق أدى إلى سرقة نحو 50 مليون دولار، وأبدى خبراء الآمان والمطورون البارزون، مثل @bantg، قلقهم بشأن تعقيد الهجوم. كما أشار @bantg، “هذا المستوى من الهجوم مخيف جداً. وفقاً لمعرفتي، وقع الموقِّعون المخترقون في أفضل الممارسات.”
أظهر تقرير حادثة حديث لـ “Radiant Capital” إلى جانب سلسلة تغريدات من OneKeyHQ تحليلاً خطوة بخطوة للاختراق، مشيراً بشكل قوي إلى أن الاختراق ارتبط بقراصنة كوريين شماليين.
بدأ الهجوم في 11 سبتمبر، عندما تلقى مطور من “Radiant Capital” رسالة عبر “تليجرام” من شخص ينتحل شخصية مقاول سابق موثوق. وفقاً للرسالة، كان المقاول يبحث عن فرصة عمل جديدة في مراجعات العقود الذكية وطلب الحصول على تعليقات حول عمل المقاول وقدم رابطًا إلى ملف PDF مضغوط يوضح مهمتهم التالية. قلد القراصنة حتى الموقع الشرعي للمقاول لإضافة المصداقية.
احتوى الملف المضغوط على تنفيذ مموه باسم INLETDRIFT. عند فتحه، تم تثبيت برامج ضارة على جهاز مطور يعمل بنظام macOS، مما يمنح المهاجمين إمكانية الوصول إلى نظام المطور. صُمم البرنامج الضار للتواصل مع خادم يسيطر عليه المقرصنون.
بشكل مأساوي، تمت مشاركة الملف المضغوط مع أعضاء الفريق الآخرين للحصول على تعليقات، مما أدى إلى انتشار البرامج الضارة بشكل أكبر. استخدم المهاجمون وصولهم لتنفيذ هجوم رجل في الوسط (MITM). على الرغم من أن فريق Radiant اعتمد على محافظ Gnosis Safe متعددة التوقيعات للأمان، إلا أن البرامج الضارة اعترضت بيانات المعاملة وقامت بتلاعبها. بالنسبة لشاشات المطورين، بدت المعاملات شرعية، ولكن استبدلها القراصنة بتعليمات خبيثة استهدفت ملكية عقود تجمع الإقراض.
باستغلال ثغرة في توقيع عمياء في محافظ Ledger، أقنع المهاجمون المطورين بالسماح بتنفيذ وظيفة transfer ownership()، مما منحهم السيطرة على أموال Radiant. في أقل من ثلاث دقائق، استنزف القراصنة الأموال وأزالوا الأبواب الخلفية ومحوا آثار أنشطتهم، تاركين المحققين بأقل قدر من الأدلة.
سلط هذا الهجوم الضوء على تزايد تعقيد تهديدات الإنترنت، مثل اختراق البيتكوين DMM، الذي أدى إلى إغلاق تبادل العملات المشفرة الياباني إلى جانب الدروس المستفادة الرئيسية. أحد هذه الدروس هو أن الفرق يجب أن تتحول إلى أدوات التعاون عبر الإنترنت للحد من مخاطر البرمجيات الضارة. يجب تجنب تحميل الملفات غير الموثوقة وخاصة من مصادر خارجية بشكل كامل.
التحقق من المعاملات الأمامية ضروري ولكنه عرضة للتزوير. يجب أن تنظر المشاريع في أدوات التحقق المتقدمة ومراقبة سلسلة التوريد للكشف عن العبث. أيضًا، تفتقر أجهزة المحافظ غالباً إلى ملخصات تفصيلية للمعاملات، مما يزيد من المخاطر. يمكن أن يساهم الدعم المحسن للمعاملات متعددة التوقيعات في التخفيف من هذه المشكلة.
يمكن أن يساهم تعزيز إدارة الأصول مع القوانين الزمنية وأطر الحوكمة في تأجيل التحويلات المالية الحيوية، مما يسمح للفرق بتحديد والاستجابة للمخالفات قبل فقدان الأصول.
يشكل اختراق Radiant Capital تذكيرًا صارخًا بالضعف الذي يستمر حتى في المشاريع التي تلتزم بأفضل الممارسات. مع نمو نظام التمويل اللامركزي، يزداد ذكاء المهاجمين. اليقظة في جميع أنحاء الصناعة، وبروتوكولات الأمن الأقوى، وحوكمة الأصول القوية ضرورية لمنع مثل هذه الحوادث في المستقبل.
تواصل Radiant DAO دعم Mandiant في تحقيقها مع تعاون Zeroshadow والسلطات القانونية الأمريكية لتجميد الأصول المسروقة. كما عبرت Radiant عن رغبتها في مشاركة الدروس التي تم اكتسابها لمساعدة الصناعة بأكملها على رفع معايير الأمان.
