Peretasan senilai $50 juta mengguncang komunitas defi dengan dana yang diotorisasi untuk berbagai proyek terkuras habis.
Radiant Capital Hack: Bagaimana Peretas Menggunakan PDF untuk Mencuri $50 Juta
Artikel ini diterbitkan lebih dari setahun yang lalu. Beberapa informasi mungkin sudah tidak terkini.
DITULIS OLEH
BAGIKAN
Hack Senilai $50 Juta Menjadi Peringatan Keras bagi Industri Defi
Kerumitan dan presisi dari serangan baru-baru ini terhadap Radiant Capital, sebuah protokol pinjaman lintas rantai terdesentralisasi yang dibangun di atas Layerzero, telah mengungkapkan lapisan kerentanan lain, bahkan dalam proyek defi yang cukup aman.
Pada 16 Okt., Radiant Capital mengalami pelanggaran yang mengakibatkan pencurian sekitar $50 juta dengan pakar keamanan dan pengembang terkemuka, seperti @bantg menyatakan kekhawatiran tentang kecanggihan serangan tersebut. Seperti yang dicatat oleh @bantg, “tingkat serangan ini sangat menakutkan. Sejauh yang saya tahu, signer yang dikompromikan telah mengikuti praktik terbaik.”
Laporan insiden terbaru oleh Radiant Capital bersama dengan thread X oleh OneKeyHQ menunjukkan pemecahan langkah demi langkah dari peretasan tersebut dengan laporan yang secara kuat mengaitkan peretasan tersebut dengan peretas Korea Utara.
Serangan dimulai pada 11 Sept., ketika seorang pengembang Radiant Capital menerima pesan Telegram dari seseorang yang menyamar sebagai mantan kontraktor tepercaya. Menurut pesan tersebut, kontraktor tersebut sedang mencari kesempatan kerja baru dalam audit kontrak pintar. Ia meminta komentar tentang pekerjaan kontraktor tersebut dan memberikan tautan ke PDF terkompresi yang merinci tugas berikutnya. Para peretas bahkan meniru situs web resmi kontraktor tersebut untuk menambah kredibilitas.
File zip tersebut berisi executable menyamar bernama INLETDRIFT. Setelah dibuka, itu memasang malware pada perangkat macOS pengembang, memberikan akses kepada penyerang ke sistem pengembang tersebut. Malware ini dirancang untuk berkomunikasi dengan server yang dikendalikan oleh peretas.
Sayangnya, file yang dikompromikan itu dibagikan dengan anggota tim lain untuk umpan balik, menyebarkan malware lebih lanjut. Para penyerang menggunakan akses mereka untuk menjalankan serangan man-in-the-middle (MITM). Sementara tim Radiant mengandalkan dompet multisig Gnosis Safe untuk keamanan, malware tersebut mencegat dan memanipulasi data transaksi. Di layar pengembang, transaksi tampak sah, tetapi peretas menggantinya dengan instruksi berbahaya yang menargetkan kepemilikan kontrak pool pinjaman.
Dengan mengeksploitasi kerentanan blind signing dalam dompet Ledger, para penyerang meyakinkan pengembang untuk mengotorisasi panggilan transfer ownership(), memberi mereka kendali atas dana Radiant. Dalam waktu kurang dari tiga menit, para peretas menguras dana tersebut, menghapus pintu belakang, dan menghapus jejak aktivitas mereka, meninggalkan penyidik dengan bukti minimal.
Serangan ini menyoroti meningkatnya kecanggihan ancaman siber seperti pelanggaran DMM bitcoin yang menyebabkan penutupan pertukaran kripto Jepang serta pelajaran penting. Salah satunya adalah bahwa tim harus beralih ke alat kolaborasi online untuk mengurangi risiko malware. Unduhan file yang tidak diverifikasi terutama dari sumber eksternal harus sepenuhnya dihindari.
Verifikasi transaksi front-end penting tetapi rentan terhadap spoofing. Proyek harus mempertimbangkan alat verifikasi canggih dan pemantauan rantai pasokan untuk mendeteksi adanya manipulasi. Juga, dompet perangkat keras sering kali kurang memiliki ringkasan transaksi yang detail, meningkatkan risiko. Dukungan yang diperkuat untuk transaksi multi-sig dapat mengurangi masalah ini.
Memperkuat tata kelola aset dengan timelock dan kerangka kerja tata kelola juga dapat berkontribusi untuk menunda transfer dana kritis, memungkinkan tim untuk mengidentifikasi dan merespons anomali sebelum aset hilang.
Peretasan Radiant Capital adalah pengingat keras akan kerentanan yang terus ada bahkan dalam proyek yang mematuhi praktik terbaik. Seiring pertumbuhan ekosistem defi, demikian pula kejeniusan para penyerang. Kewaspadaan industri, protokol keamanan yang lebih kuat, dan tata kelola aset yang tangguh sangat penting untuk mencegah kejadian serupa di masa depan.
Radiant DAO terus mendukung Mandiant dalam penyelidikannya bersama dengan kerjasama dari Zeroshadow dan otoritas hukum AS untuk membekukan aset yang dicuri. Radiant juga menyatakan keinginannya untuk berbagi pelajaran yang didapat untuk membantu seluruh industri meningkatkan standar keamanan.
