Radiant Capital Hack: Hvordan hackere brukte en PDF for å stjele 50 millioner dollar

Hacking på $50 millioner en klar advarsel for Defi-industrien

Kompleksiteten og presisjonen i et nylig angrep på Radiant Capital, en desentralisert cross-chain utlånsprotokoll bygget på Layerzero, har avdekket et ytterligere lag av sårbarhet, selv i godt sikrede defi-prosjekter.

Den 16. oktober ble Radiant Capital utsatt for et brudd som resulterte i tyveri av omtrent $50 millioner, med sikkerhetseksperter og kjente utviklere som @bantg som uttrykte bekymringer om angrepets sofistikering. Som @bantg bemerket, “dette nivået av angrep er virkelig skremmende. Så vidt jeg vet har de kompromitterte signatarene fulgt beste praksis.”

En nylig hendelsesrapport fra Radiant Capital sammen med en X-tråd av OneKeyHQ viste en trinnvis gjennomgang av hackingen, med rapporten som sterkt knyttet hackingen til nordkoreanske hackere.

Angrepet begynte 11. september da en utvikler hos Radiant Capital mottok en Telegram-melding fra noen som utga seg for å være en betrodd tidligere entreprenør. Ifølge meldingen var entreprenøren på utkikk etter nye jobbmuligheter innen smartkontraktrevisjoner. Det ba om kommentarer på entreprenørens arbeid og ga en lenke til en komprimert PDF som detaljerte deres neste oppdrag. Hackerne etterlignet til og med entreprenørens legitime nettside for å tilføre troverdighet.

Zip-filen inneholdt en forkledd kjørbar fil ved navn INLETDRIFT. Ved åpning installerte den ondsinnet programvare på utviklerens macOS-enhet, og ga angriperne tilgang til utviklerens system. Den ondsinnede programvaren var designet for å kommunisere med en hacker-kontrollert server.

Tragisk nok ble den kompromitterte filen delt med andre teammedlemmer for tilbakemelding, noe som ytterligere spredte den ondsinnede programvaren. Angriperne brukte sin tilgang til å utføre et man-in-the-middle (MITM) angrep. Mens Radiants team stolte på Gnosis Safe multisig lommebøker for sikkerhet, avlyttet den ondsinnede programvaren og manipulerte transaksjonsdata. På utviklernes skjermer så transaksjonene legitime ut, men hackerne erstattet dem med ondsinnede kommandoer som målrettet eierskapet av utlånskontrakter.

Ved å utnytte en blindsigneringssårbarhet i Ledger-lommebøker overtalte angriperne utviklerne til å autorisere en transfer ownership()-anrop, som ga dem kontroll over Radiants midler. På under tre minutter tappet hackerne midlene, fjernet bakdører og slettet sporene etter deres aktiviteter, og etterlot etterforskerne med minimale bevis.

Dette angrepet fremhevet den økende sofistikeringen av cybertrusler som DMM bitcoin bruddet som førte til nedleggelsen av den japanske kryptobørsen sammen med viktige lærdommer. En av disse er at team må gå over til online samarbeidsverktøy for å redusere risikoen for ondsinnet programvare. Å laste ned uverifiserte filer spesielt fra eksterne kilder bør helt unngås.

Verifikasjon av transaksjoner i frontend er avgjørende, men sårbar for spoofing. Prosjekter bør vurdere avanserte verifikasjonsverktøy og forsyningskjedeovervåkning for å oppdage manipulering. Også maskinvarelommebøker mangler ofte detaljerte transaksjonsoppsummeringer, noe som øker risikoen. Forbedret støtte for multisig-transaksjoner kan avhjelpe dette problemet.

Styrking av eiendelsstyring med tidslåser og styringsrammeverk kan også bidra til å forsinke kritiske pengeoverføringer, slik at team kan identifisere og reagere på avvik før eiendeler går tapt.

Radiant Capital-hackingen er en sterk påminnelse om sårbarhetene som vedvarer selv i prosjekter som følger beste praksis. Når defi-økosystemet vokser, øker også kreativiteten til angriperne. Industrivis årvåkenhet, sterkere sikkerhetsprotokoller, og robust eiendelsstyring er essensielle for å forhindre slike hendelser i fremtiden.

Radiant DAO fortsetter å støtte Mandiant i sin etterforskning sammen med samarbeid fra Zeroshadow og amerikanske myndigheter for å fryse stjålne eiendeler. Radiant har også uttrykt sitt ønske om å dele oppnådde lærdommer for å hjelpe hele industrien med å heve sikkerhetsstandardene.