El hackeo de $50 millones envió ondas de choque a través de la comunidad defi con fondos autorizados para diferentes proyectos completamente drenados.
Radiant Capital Hack: Cómo los hackers usaron un PDF para robar $50 millones
Este artículo se publicó hace más de un año. Alguna información puede no estar actualizada.
ESCRITO POR
COMPARTIR
Hackeo de $50 Millones una Advertencia Clara para la Industria Defi
La complejidad y precisión de un ataque reciente a Radiant Capital, un protocolo de préstamo descentralizado entre cadenas construido en Layerzero, ha expuesto otra capa de vulnerabilidad, incluso en proyectos defi bien asegurados.
El 16 de octubre, Radiant Capital sufrió una brecha que resultó en el robo de aproximadamente $50 millones, con expertos en seguridad y desarrolladores notables, como @bantg expresando preocupaciones sobre la sofisticación del ataque. Como señaló @bantg, “este nivel de ataque es realmente aterrador. Según mi conocimiento, los firmantes comprometidos han seguido las mejores prácticas.”
Un reciente informe del incidente de Radiant Capital junto con un hilo en X por OneKeyHQ mostró un desglose paso a paso del hackeo con el informe vinculando fuertemente el hackeo con piratas informáticos norcoreanos.
El ataque comenzó el 11 de septiembre, cuando un desarrollador de Radiant Capital recibió un mensaje de Telegram de alguien que se hacía pasar por un excontratista de confianza. Según el mensaje, el contratista buscaba una nueva oportunidad laboral en auditorías de contratos inteligentes. Solicitó comentarios sobre el trabajo del contratista y proporcionó un enlace a un PDF comprimido que detallaba su próximo encargo. Los piratas informáticos incluso imitaron el sitio web legítimo del contratista para añadir credibilidad.
El archivo zip contenía un ejecutable disfrazado llamado INLETDRIFT. Al abrirlo, instaló malware en el dispositivo macOS del desarrollador, otorgando a los atacantes acceso al sistema del desarrollador. El malware estaba diseñado para comunicarse con un servidor controlado por los piratas informáticos.
Trágicamente, el archivo comprometido se compartió con otros miembros del equipo para obtener comentarios, propagando aún más el malware. Los atacantes usaron su acceso para ejecutar un ataque de hombre en el medio (MITM). Mientras el equipo de Radiant dependía de billeteras multisig de Gnosis Safe para seguridad, el malware interceptó y manipuló los datos de transacción. En las pantallas de los desarrolladores, las transacciones parecían legítimas, pero los piratas informáticos las reemplazaron con instrucciones maliciosas dirigidas a la propiedad de los contratos del pool de préstamos.
Al explotar una vulnerabilidad de firma ciega en las billeteras Ledger, los atacantes convencieron a los desarrolladores para autorizar una llamada transfer ownership(), otorgándoles control sobre los fondos de Radiant. En menos de tres minutos, los piratas informáticos drenaron los fondos, eliminaron puertas traseras y borraron rastros de sus actividades, dejando a los investigadores con evidencia mínima.
Este ataque destacó la creciente sofisticación de las amenazas cibernéticas como la brecha de DMM bitcoin que llevó al cierre del exchange de criptomonedas japonés junto con aprendizajes clave. Uno de ellos es que los equipos deben cambiar a herramientas de colaboración en línea para reducir los riesgos de malware. Descargar archivos no verificados, especialmente de fuentes externas, debe evitarse completamente.
La verificación de transacciones frontales es crucial pero vulnerable a suplantaciones. Los proyectos deben considerar herramientas de verificación avanzadas y monitoreo de la cadena de suministro para detectar manipulaciones. Además, las billeteras de hardware a menudo carecen de resúmenes detallados de transacciones, aumentando el riesgo. Un mayor soporte para transacciones multisig podría mitigar este problema.
Fortalecer la gobernanza de activos con bloqueos temporales y marcos de gobernanza también puede contribuir a retrasar transferencias críticas de fondos, permitiendo que los equipos identifiquen y respondan a anomalías antes de que se pierdan los activos.
El hackeo a Radiant Capital es un recordatorio claro de las vulnerabilidades que persisten incluso en proyectos que siguen las mejores prácticas. A medida que el ecosistema defi crece, también lo hace la ingeniosidad de los atacantes. La vigilancia en toda la industria, protocolos de seguridad más fuertes y una gobernanza robusta de activos son esenciales para prevenir tales incidentes en el futuro.
El DAO de Radiant continúa apoyando a Mandiant en su investigación junto con la cooperación de Zeroshadow y las autoridades legales de EE. UU. para congelar los activos robados. Radiant también ha expresado su deseo de compartir las lecciones aprendidas para ayudar a toda la industria a elevar los estándares de seguridad.
