Radiant Capitalハック：ハッカーがPDFを使って5,000万ドルを盗む手口

5,000万ドルのハッキング、DeFi業界への厳しい警告

最近のRadiant Capitalへの攻撃は、Layerzeroに構築された分散型クロスチェーン貸付プロトコルであり、高度に精密で、よく保護されているプロジェクトでさえも脆弱性を露呈しました。

10月16日、Radiant Capitalは侵害を受け、約5,000万ドルが盗まれました。この攻撃の洗練された手法にセキュリティ専門家や著名な開発者（@bantg など）が懸念を表明しました。@bantgは、「このレベルの攻撃は本当に恐ろしいです。私の知る限り、妥協を許したサイナーたちはベストプラクティスに従っていました。」と述べています。

Radiant Capitalの最近の事件報告とOneKeyHQによるXでのスレッドには、ハッキングの段階的な分析が記されており、北朝鮮のハッカーとの強い関連を示しています。

攻撃は9月11日に始まりました。Radiant Capitalの開発者が、信頼される元契約者を装った人物からTelegramメッセージを受け取りました。そのメッセージでは、契約者はスマートコントラクト監査の新たな仕事の機会を探していると述べ、契約者の仕事についてのコメントを要求し、次の課題を詳述した圧縮PDFのリンクを提供しました。ハッカーたちは信憑性を高めるために、契約者の正当なウェブサイトも模倣していました。

zipファイルには「INLETDRIFT」と名付けられた偽装された実行ファイルが含まれており、開くと開発者のmacOSデバイスにマルウェアがインストールされ、攻撃者に開発者のシステムへのアクセスが許可されました。このマルウェアは、攻撃者が制御するサーバーと通信するよう設計されていました。

悲劇的に、その妥協ファイルはフィードバックのために他のチームメンバーと共有され、マルウェアのさらなる拡散を招きました。攻撃者たちはそのアクセスを用いて中間者攻撃（MITM）を実行しました。RadiantのチームはセキュリティのためにGnosis Safeマルチ署名ウォレットを依頼していましたが、マルウェアはトランザクションデータを傍受して操作しました。開発者の画面ではトランザクションが正当のように見えましたが、攻撃者はそれを融資プール契約の所有権を狙う悪性の指令に置き換えました。

Ledgerウォレットの盲署名の脆弱性を悪用することにより、攻撃者たちは開発者に所有権転送()コールを許可するよう説得し、Radiantの資金を管理する権限を得ました。3分足らずの間に、攻撃者は資金を流出させ、バックドアを除去し、活動の痕跡を消去して、捜査官に最小限の証拠しか残しませんでした。

この攻撃は、DMMのビットコインの侵害をはじめとするサイバー脅威の洗練さの増大を浮き彫りにし、日本の暗号通貨取引所の閉鎖を招きました。学ぶべき重要な教訓の一つは、チームはオンラインコラボレーションツールに移行し、マルウェアのリスクを減少させるべきであるということです。特に外部ソースからの未確認のファイルのダウンロードは完全に避けるべきです。

フロントエンドのトランザクション検証は重要ですが、なりすましに対して脆弱です。プロジェクトは改ざんを検出するために高度な検証ツールとサプライチェーンモニタリングを考慮すべきです。また、ハードウェアウォレットは詳細なトランザクション要約を欠くことが多く、リスクが増大します。マルチシグトランザクションのサポートを強化することでこの問題を軽減することができます。

資産ガバナンスをタイムロックとガバナンスフレームワークで強化することで、重要な資金移動を遅延させ、チームが資産が失われる前に異常を特定し、対応することが可能になります。

Radiant Capitalのハッキングは、ベストプラクティスに従ったプロジェクトでさえ存在する脆弱性を思い起こさせるものでした。DeFiエコシステムが成長するにつれ、攻撃者の独創性も増しています。業界全体での警戒、強化されたセキュリティプロトコルと堅牢な資産ガバナンスが、このようなインシデントを未然に防ぐために不可欠です。

Radiant DAOは、Zeroshadowや米国法当局と協力して盗まれた資産を凍結しながら、Mandiantの調査を支援し続けています。Radiantはまた、業界全体のセキュリティ基準を向上させるために得た教訓を共有する意欲を表明しています。