Radiant Capital Hack: כיצד האקרים השתמשו ב-PDF כדי לגנוב 50 מיליון דולר

פריצת ה-50 מיליון דולר כאזהרה חמורה לתעשיית ה-defi

המורכבות והדיוק של מתקפה האחרונה על Radiant Capital, פרוטוקול הלוואות מבוסס רשת-צלב מבוזר הבנוי על Layerzero חשפה שכבת פגיעות נוספת, אפילו בפרויקטים מאובטחים ב-defi.

ב-16 באוקטובר, Radiant Capital סבלה מפריצה שגרמה לגניבת כמיליון $50 מיליון עם מומחי אבטחה ומפתחים מוכרים, כגון @bantg שהביעו דאגות בנוגע לסופיסטיקציה של המתקפה. כפי ש-@bantg ציין, “רמת המתקפה הזו ממש מפחידה. למיטב ידיעתי, החותמים שנפגעו עמדו בכללי הפעולה הטובים ביותר.”

דו”ח תקרית אחרון על ידי Radiant Capital יחד עם שרשור X על ידי OneKeyHQ הראה פירוט צעד-אחר-צעד של הפריצה עם הדו”ח המקשר את הפריצה בחוזקה עם האקרים צפון קוריאנים.

ההתקפה התחילה ב-11 בספטמבר, כאשר מפתח של Radiant Capital קיבל הודעה ב-Telegram ממישהו שהתחזה לקבלן לשעבר מהימן. לפי ההודעה, הקבלן חיפש הזדמנות עבודה חדשה בבדיקות חוזים חכמים. ההודעה ביקשה הערות על העבודה שלו וסיפקה קישור לקובץ PDF דחוס שפרט את המשימה הבאה שלו. ההאקרים אף חיקו את האתר החוקי של הקבלן כדי להוסיף אמינות.

קובץ ה-zip הכיל קובץ הרצה מוסווה בשם INLETDRIFT. עם פתיחתו, הוא התקין תוכנה זדונית על מכשיר macOS של המפתח, מה שמנע גישה למערכת של המפתח למתקיפים. התוכנה הזדונית תוכננה לתקשר עם שרת בשליטת האקר.

למרבה הצער, הקובץ שנפגע שותף עם חברי צוות אחרים לקבלת משוב, מה שהפיץ את התוכנה הזדונית עוד יותר. המתקיפים השתמשו בגישתם כדי לבצע מתקפת אדם-בין-אדם (MITM). בעוד צוות Radiant השתמש בארנקי רב חתימות של Gnosis Safe לאבטחה, התוכנה הזדונית יירטה וניתחה נתוני עסקות. על מסכי המפתחים, העסקים נראו לגיטימיים, אך ההאקרים החליפו אותם בהוראות זדוניות שכוונו לבעלות של חוזי בריכת הלווה.

באמצעות ניצול חולשה של חתימה עיוורת בארנקי Ledger, המתקיפים שכנעו מפתחים לאשר קריאה לפעולת העברת בעלות(), שהעניקה להם שליטה על כספי Radiant. בפחות משלוש דקות, ההאקרים רוקנו את הכספים, הסירו דלתות אחוריות ומחקו עקבות של פעולותיהם, והשאירו לחוקרים עם מינימום ראיות.

המתקפה הזו הדגישה את ההתקדמות ההולכת וגדלה של איומי הסייבר, כמו הפריצה ל-DMM bitcoin שהובילה לסגירת הביטקוין היפני של חילוף קריפטו יחד עם למידות חשובות. אחד מהם הוא שצוותים חייבים להתיק לכלים לשיתוף פעולה מקוונים כדי להפחית את הסיכון של תוכנות זדוניות. הורדת קבצים לא מאומתים במיוחד ממקורות חיצוניים יש להימנע לחלוטין.

אימות עסקאות פרונט-אנד הוא קריטי אך רגיש לזיופים. פרויקטים צריכים לשקול כלים מתקדמים לאימות ומעקב על שרשרת אספקה לזיהוי שיבושים. כמו כן, ארנקי חומרה לעיתים קרובות חסרים סיכומים פרוטוקטיים של עסקות, מה שמגביר את הסיכון. תמיכה מוגברת עבור עסקות רב חתימה יכולה לצמצם בעיה זו.

חיזוק משילות הנכס עם מנעולי זמן ומבנה ניהולי יכולים גם לתרום לעיכוב העברות קריטיות של כספים, מה שמאפשר לצוותים לזהות ולהגיב לאי-סדירויות לפני שהנכסים אובדים.

הפריצה ל-Radiant Capital היא תזכורת חמורה לפגיעות שנמשכות גם בפרויקטים המקפידים על סטנדרטים הגבוהים ביותר. ככל שהאקו-סיסטם ב-defi גדל, כך גם תעשה יצירתיות של המתקיפים. שמירה ערנית ברמה תעשייתית, פרוטוקולי אבטחה חזקים יותר ומשילות נכסים חסונה חיוניים כדי למנוע מקרי מקרים דומים בעתיד.

Radiant DAO ממשיכה לתמוך ב-Mandiant בחקירה שלה יחד עם שיתוף פעולה עם Zeroshadow ורשויות החוק של ארה”ב להקפאת נכסים גנובים. Radiant גם הביעה את רצונה לשתף את הלקחים שהושגו כדי לעזור לתעשייה כולה להרים את סטנדרט האבטחה.