Radiant Capital Hack: Wie Hacker ein PDF nutzten, um 50 Millionen Dollar zu stehlen

50-Millionen-Dollar-Hack eine deutliche Warnung für die Defi-Industrie

Die Komplexität und Präzision eines kürzlichen Angriffs auf Radiant Capital, ein dezentralisiertes Cross-Chain-Lending-Protokoll, das auf Layerzero aufgebaut ist, hat eine weitere Schwachstelle offenbart, selbst in gut gesicherten Defi-Projekten.

Am 16. Oktober erlitt Radiant Capital einen Sicherheitsbruch, der zu einem Diebstahl von rund 50 Millionen Dollar führte. Sicherheitsexperten und bekannte Entwickler, wie @bantg, äußerten Bedenken über die Raffinesse des Angriffs. Wie @bantg bemerkte: “Dieses Angriffsniveau ist wirklich erschreckend. Soweit ich weiß, haben die kompromittierten Unterzeichner die besten Praktiken befolgt.”

Ein jüngster Vorfallsbericht von Radiant Capital sowie ein X-Thread von OneKeyHQ zeigten eine schrittweise Aufschlüsselung des Hacks, wobei der Bericht den Hack stark mit nordkoreanischen Hackern in Verbindung bringt.

Der Angriff begann am 11. September, als ein Entwickler von Radiant Capital eine Telegram-Nachricht von jemandem erhielt, der sich als vertrauenswürdiger ehemaliger Auftragnehmer ausgab. Laut der Nachricht suchte der Auftragnehmer nach einer neuen Arbeitsmöglichkeit in Smart-Contract-Prüfungen. Es forderte Kommentare zur Arbeit des Auftragnehmers und stellte einen Link zu einem komprimierten PDF bereit, das ihren nächsten Auftrag detailliert beschreibt. Die Hacker imitierten sogar die legitime Website des Auftragnehmers, um Glaubwürdigkeit zu verleihen.

Die Zip-Datei enthielt eine getarnte ausführbare Datei namens INLETDRIFT. Beim Öffnen installierte sie Malware auf dem macOS-Gerät des Entwicklers und gewährte den Angreifern Zugriff auf das System des Entwicklers. Die Malware war so konzipiert, dass sie mit einem von Hackern kontrollierten Server kommuniziert.

Tragischerweise wurde die kompromittierte Datei zur Rückmeldung an andere Teammitglieder weitergegeben, was die Malware weiter verbreitete. Die Angreifer nutzten ihren Zugriff, um einen Man-in-the-Middle (MITM) Angriff auszuführen. Während das Radiant-Team auf Gnosis Safe Multisig-Wallets für Sicherheit setzte, interceptierte und manipulierte die Malware Transaktionsdaten. Auf den Bildschirmen der Entwickler schienen die Transaktionen legitim, aber die Hacker ersetzten sie durch bösartige Anweisungen, die auf das Eigentum an Kreditpools abzielten.

Durch die Ausnutzung einer Schwachstelle beim Blind Signing von Ledger-Wallets überzeugten die Angreifer die Entwickler, einen transfer ownership() Aufruf zu autorisieren, wodurch sie Kontrolle über die Mittel von Radiant erlangten. In weniger als drei Minuten zogen die Hacker die Mittel ab, entfernten Hintertüren und löschten Spuren ihrer Aktivitäten, sodass den Ermittlern kaum Beweise blieben.

Dieser Angriff hob die zunehmende Raffinesse von Cyber-Bedrohungen hervor, wie die DMM Bitcoin Sicherheitsverletzung, die zur Schließung der japanischen Kryptobörse führte, gemeinsam mit wesentlichen Erkenntnissen. Eine davon ist, dass Teams auf Online-Zusammenarbeitstools umsteigen müssen, um Malware-Risiken zu reduzieren. Das Herunterladen von unbestätigten Dateien, insbesondere aus externen Quellen, sollte vollständig vermieden werden.

Die Verifizierung von Transaktionen an der Frontend ist wichtig, aber anfällig für Spoofing. Projekte sollten erwägen, fortschrittliche Verifizierungstools und Überwachung der Lieferkette zur Erkennung von Manipulationen einzusetzen. Auch Hardware-Wallets fehlen oft detaillierte Transaktionsübersichten, wodurch ein höheres Risiko entsteht. Eine verbesserte Unterstützung für Multisignatur-Transaktionen könnte dieses Problem mindern.

Die Stärkung der Vermögensverwaltung mit Timelocks und Governance-Frameworks kann auch dazu beitragen, kritische Mittelüberweisungen zu verzögern, sodass Teams Anomalien identifizieren und reagieren können, bevor Vermögenswerte verloren gehen.

Der Hack von Radiant Capital ist eine eindringliche Erinnerung an die Schwachstellen, die selbst in Projekten bestehen, die sich an Best Practices halten. Mit dem Wachstum des Defi-Ökosystems wächst auch die Einfallsreichtum der Angreifer. Branchenweite Wachsamkeit, stärkere Sicherheitsprotokolle und eine robuste Vermögensverwaltung sind unerlässlich, um solche Vorfälle in Zukunft zu vermeiden.

Die Radiant DAO unterstützt weiterhin Mandiant bei ihrer Untersuchung zusammen mit der Zusammenarbeit von Zeroshadow und den US-Behörden, um gestohlene Vermögenswerte einzufrieren. Radiant hat auch seinen Wunsch geäußert, erworbene Erkenntnisse zu teilen, um der gesamten Industrie zu helfen, die Sicherheitsstandards zu erhöhen.