Hack de Capital Radiante: Como Hackers Usaram um PDF para Roubar $50 Milhões

Hack de $50 Milhões é um Aviso Claro para a Indústria Defi

A complexidade e precisão de um ataque recente ao Radiant Capital, um protocolo de empréstimo descentralizado cross-chain construído no Layerzero, expôs outra camada de vulnerabilidade, mesmo em projetos defi bem protegidos.

Em 16 de outubro, o Radiant Capital sofreu uma violação que resultou no roubo de aproximadamente $50 milhões com especialistas em segurança e desenvolvedores notáveis, como @bantg, expressando preocupações sobre a sofisticação do ataque. Como @bantg observou, “este nível de ataque é realmente assustador. Pelo que sei, os signatários comprometidos seguiram as melhores práticas.”

Um relatório recente do incidente pelo Radiant Capital, juntamente com um fio no X por OneKeyHQ, mostrou uma análise passo a passo do hack com o relatório fortemente vinculando o hack a hackers norte-coreanos.

O ataque começou em 11 de setembro, quando um desenvolvedor do Radiant Capital recebeu uma mensagem no Telegram de alguém se passando por um ex-contratante confiável. De acordo com a mensagem, o contratante estava procurando uma nova oportunidade de trabalho em auditorias de contratos inteligentes. Ele solicitou comentários sobre o trabalho do contratante e forneceu um link para um PDF compactado detalhando sua próxima tarefa. Os hackers até imitaram o site legítimo do contratante para adicionar credibilidade.

O arquivo zip continha um executável disfarçado chamado INLETDRIFT. Ao abri-lo, instalou malware no dispositivo macOS do desenvolvedor, concedendo aos atacantes acesso ao sistema do desenvolvedor. O malware foi projetado para se comunicar com um servidor controlado pelos hackers.

Tragicamente, o arquivo comprometido foi compartilhado com outros membros da equipe para feedback, espalhando ainda mais o malware. Os atacantes usaram seu acesso para executar um ataque man-in-the-middle (MITM). Enquanto a equipe do Radiant confiava em carteiras multisig Gnosis Safe para segurança, o malware interceptou e manipulou os dados de transação. Nas telas dos desenvolvedores, as transações pareciam legítimas, mas os hackers as substituíram por instruções maliciosas visando a propriedade dos contratos do pool de empréstimo.

Explorando uma vulnerabilidade de assinatura cega em carteiras Ledger, os atacantes convenceram os desenvolvedores a autorizar uma chamada transfer ownership(), dando-lhes controle dos fundos do Radiant. Em menos de três minutos, os hackers esvaziaram os fundos, removeram backdoors e apagaram rastros de suas atividades, deixando os investigadores com evidências mínimas.

Este ataque destacou a crescente sofisticação das ameaças cibernéticas, como a violação DMM bitcoin que levou ao fechamento da exchange de criptomoedas japonesa junto com aprendizados chave. Um deles é que as equipes devem mudar para ferramentas de colaboração online para reduzir os riscos de malware. Baixar arquivos não verificados, especialmente de fontes externas, deve ser completamente evitado.

A verificação de transações front-end é crucial, mas vulnerável a falsificações. Os projetos devem considerar ferramentas de verificação avançadas e monitoramento da cadeia de suprimentos para detectar adulteração. Além disso, carteiras de hardware frequentemente carecem de resumos detalhados das transações, aumentando o risco. Suporte aprimorado para transações multisig poderia mitigar esse problema.

Fortalecer a governança de ativos com timelocks e frameworks de governança também pode contribuir para atrasar transferências de fundos críticas, permitindo que as equipes identifiquem e respondam a anomalias antes que os ativos sejam perdidos.

O hack do Radiant Capital é um lembrete claro das vulnerabilidades que persistem mesmo em projetos que seguem as melhores práticas. À medida que o ecossistema defi cresce, também cresce a engenhosidade dos atacantes. Vigilância em toda a indústria, protocolos de segurança mais fortes e governança robusta de ativos são essenciais para prevenir tais incidentes no futuro.

A Radiant DAO continua a apoiar a Mandiant em sua investigação juntamente com a cooperação de Zeroshadow e autoridades dos EUA para congelar ativos roubados. Radiant também expressou seu desejo de compartilhar lições aprendidas para ajudar toda a indústria a elevar os padrões de segurança.