Radiant Capital Hack: Hvordan hackere brugte en PDF til at stjæle 50 millioner dollars

$50 Million Hack en Alvorlig Advarsel for Defi-Industrien

Kompleksiteten og præcisionen af et nyligt angreb på Radiant Capital, en decentraliseret tværkæde-udlånsprotokol bygget på Layerzero, har afsløret endnu et lag af sårbarhed, selv i godt sikrede defi-projekter.

Den 16. oktober led Radiant Capital et brud, der resulterede i tyveriet af cirka $50 millioner med sikkerhedseksperter og kendte udviklere såsom @bantg, der udtrykte bekymringer over angrebets sofistikering. Som @bantg bemærkede, “dette niveau af angreb er virkelig skræmmende. Så vidt jeg ved, har de kompromitterede underskrivere fulgt de bedste praksisser.”

En nylig hændelsesrapport af Radiant Capital sammen med en X-tråd af OneKeyHQ viste en trin-for-trin opdeling af hacket med rapporten, der stærkt forbinder hacket med nordkoreanske hackere.

Angrebet begyndte den 11. september, da en udvikler fra Radiant Capital modtog en Telegram-besked fra en person, der udgav sig for at være en betroet tidligere entreprenør. Ifølge beskeden søgte entreprenøren en ny jobmulighed inden for smarte kontrakt-revisioner. Den bad om kommentarer til entreprenørens arbejde og gav et link til en komprimeret PDF, der beskrev deres næste opgave. Hackerne efterlignede endda entreprenørens legitime hjemmeside for at øge troværdigheden.

Zip-filen indeholdt en forklædt eksekverbar fil navngivet INLETDRIFT. Ved åbning installerede den malware på udviklerens macOS-enhed, hvilket gav angriberne adgang til udviklerens system. Malwaren var designet til at kommunikere med en hacker-kontrolleret server.

Tragisk nok blev den kompromitterede fil delt med andre teammedlemmer for feedback, hvilket yderligere spredte malwaren. Angriberne brugte deres adgang til at udføre et man-in-the-middle (MITM) angreb. Mens Radiants team stolede på Gnosis Safe multisig wallets for sikkerhed, opsnappede og manipulerede malwaren transaktionsdata. På udviklernes skærme virkede transaktionerne legitime, men hackerne erstattede dem med skadelige instruktioner målrettet mod ejerskab af lånepool-kontrakter.

Ved at udnytte en blind signerings-sårbarhed i Ledger wallets overtale angriberne udviklerne til at godkende en transfer ownership()-kald, hvilket gav dem kontrol over Radiants midler. På under tre minutter tømte hackerne midlerne, fjernede bagdøre og slettede spor af deres aktiviteter, hvilket efterlod efterforskerne med minimale beviser.

Dette angreb fremhævede den stigende sofistikering af cybertrusler såsom DMM bitcoin brud, der førte til nedlukningen af den japanske kryptobørs sammen med vigtige læringer. En af disse er, at teams skal skifte til online samarbejdsværktøjer for at reducere malware-risici. Download af uverificerede filer, især fra eksterne kilder, bør helt undgås.

Front-end transaktionsverifikation er afgørende, men sårbar over for spoofing. Projekter bør overveje avancerede verifikationsværktøjer og forsyningskædeovervågning for at opdage manipulation. Desuden mangler hardware-wallets ofte detaljerede transaktionsresuméer, hvilket øger risikoen. Forbedret støtte til multi-sig-transaktioner kunne mindske dette problem.

Styrkelse af aktivforvaltning med timelocks og styringsrammer kan også bidrage til at forsinke kritiske fondsoverførsler, hvilket lader teams identificere og reagere på uregelmæssigheder, før aktiver går tabt.

Radiant Capital-hacket er en skarp påmindelse om de sårbarheder, der vedvarer selv i projekter, der overholder de bedste praksisser. Efterhånden som defi-økosystemet vokser, gør angribernes opfindsomhed det samme. Branchen skal forblive opmærksom, indføre stærkere sikkerhedsprotokoller og robust aktivforvaltning for at forhindre sådanne hændelser i fremtiden.

Radiant DAO fortsætter med at støtte Mandiants undersøgelse sammen med samarbejde fra Zeroshadow og amerikanske retsmyndigheder for at indefryse stjålne aktiver. Radiant har også udtrykt ønske om at dele de tilegnede lektioner for at hjælpe hele branchen med at hæve sikkerhedsstandarderne.