L’hack da 50 milioni di dollari ha scosso la comunità defi con fondi autorizzati a diversi progetti completamente prosciugati.
Hack di Radiant Capital: Come gli hacker hanno usato un PDF per rubare 50 milioni di dollari
Questo articolo è stato pubblicato più di un anno fa. Alcune informazioni potrebbero non essere più attuali.
SCRITTO DA
CONDIVIDI
Hack da 50 Milioni di Dollari un Sever Avvertimento per l’Industria Defi
La complessità e la precisione di un recente attacco a Radiant Capital, un protocollo di prestito cross-chain decentralizzato costruito su Layerzero, ha esposto un altro strato di vulnerabilità, anche in progetti defi ben protetti.
Il 16 ottobre, Radiant Capital ha subito una violazione che ha portato al furto di circa 50 milioni di dollari, con esperti di sicurezza e sviluppatori di rilievo, come @bantg, che esprimono preoccupazioni sulla sofisticazione dell’attacco. Come ha notato @bantg, “questo livello di attacco è davvero spaventoso. Per quanto ne so, i firmatari compromessi hanno seguito le migliori pratiche.”
Un recente rapporto sull’incidente di Radiant Capital insieme a un thread su X di OneKeyHQ ha mostrato una scomposizione passo-passo dell’hack con il rapporto che collega fortemente l’attacco agli hacker nordcoreani.
L’attacco è iniziato l’11 settembre, quando uno sviluppatore di Radiant Capital ha ricevuto un messaggio su Telegram da qualcuno che si spacciava per un ex collaboratore fidato. Secondo il messaggio, il collaboratore stava cercando una nuova opportunità lavorativa in auditure di smart contract. Ha richiesto commenti sul lavoro del collaboratore e ha fornito un link a un PDF compresso che dettaglia il loro prossimo incarico. Gli hacker hanno persino imitato il sito web legittimo del collaboratore per aggiungere credibilità.
Il file zip conteneva un eseguibile camuffato chiamato INLETDRIFT. Una volta aperto, installava malware sul dispositivo macOS dello sviluppatore, concedendo agli attaccanti l’accesso al sistema dello sviluppatore. Il malware era progettato per comunicare con un server controllato dagli hacker.
Tragicamente, il file compromesso è stato condiviso con altri membri del team per ricevere feedback, diffondendo ulteriormente il malware. Gli attaccanti hanno utilizzato il loro accesso per eseguire un attacco man-in-the-middle (MITM). Mentre il team di Radiant faceva affidamento su portafogli multisignature Gnosis Safe per la sicurezza, il malware intercettava e manipolava i dati delle transazioni. Sugli schermi degli sviluppatori, le transazioni sembravano legittime, ma gli hacker le hanno sostituite con istruzioni malevole mirate alla proprietà dei contratti dei pool di prestito.
Sfruttando una vulnerabilità di firma cieca nei portafogli Ledger, gli attaccanti hanno convinto gli sviluppatori ad autorizzare una chiamata di trasferimento della proprietà(), dando loro il controllo dei fondi di Radiant. In meno di tre minuti, gli hacker hanno prosciugato i fondi, rimosso backdoor e cancellato le tracce delle loro attività, lasciando agli investigatori prove minime.
Questo attacco ha evidenziato la crescente sofisticazione delle minacce informatiche come la violazione bitcoin di DMM che ha portato alla chiusura della borsa crypto giapponese insieme a lezioni chiave. Una di queste è che i team devono passare a strumenti di collaborazione online per ridurre i rischi di malware. Scaricare file non verificati, specialmente da fonti esterne, dovrebbe essere completamente evitato.
La verifica delle transazioni sul front-end è cruciale ma vulnerabile alla falsificazione. I progetti dovrebbero considerare strumenti di verifica avanzati e monitoraggio della supply chain per rilevare manomissioni. Inoltre, i portafogli hardware spesso mancano di sommari dettagliati delle transazioni, aumentando il rischio. Un supporto potenziato per le transazioni multi-sig potrebbe mitigare questo problema.
Rafforzare la governance degli asset con time-lock e framework di governance può anche contribuire a ritardare trasferimenti di fondi critici, permettendo ai team di identificare e rispondere alle anomalie prima che gli asset siano persi.
L’hack di Radiant Capital è un severo promemoria delle vulnerabilità che persistono anche nei progetti che seguono le migliori pratiche. Man mano che l’ecosistema defi cresce, così fa l’ingegnosità degli attaccanti. La vigilanza a livello di settore, protocolli di sicurezza più forti e una governance robusta degli asset sono essenziali per prevenire tali incidenti in futuro.
Il Radiant DAO continua a supportare Mandiant nella sua indagine insieme alla cooperazione di Zeroshadow e delle autorità legali statunitensi per congelare gli asset rubati. Radiant ha anche espresso il desiderio di condividere le lezioni apprese per aiutare l’intera industria a innalzare gli standard di sicurezza.
