Взлом на 50 миллионов долларов вызвал шоковую волну в сообществе defi, с проектами, которым были выделены средства, полностью опустошёнными.
Radiant Capital Hack: Как хакеры использовали PDF, чтобы украсть 50 миллионов долларов
Эта статья была опубликована более года назад. Некоторая информация может быть неактуальной.
АВТОР
ПОДЕЛИТЬСЯ
Взлом на 50 миллионов долларов – жёсткое предупреждение для индустрии Defi
Сложность и точность недавней атаки на Radiant Capital, децентрализованный протокол кросс-цепочного кредитования, построенный на Layerzero, выявила новый уровень уязвимости, даже в хорошо защищённых defi проектах.
16 октября Radiant Capital пострадала от взлома, результатом которого стала кража приблизительно 50 миллионов долларов, и эксперты по безопасности, а также известные разработчики, такие как @bantg, выразили озабоченность по поводу сложности атаки. Как отметил @bantg: “уровень этой атаки действительно пугает. Насколько мне известно, те, кто подписал компрометированные сообщения, следовали лучшим практикам.”
Недавний отчёт о происшествии от Radiant Capital вместе с нитью в X от OneKeyHQ показали пошаговую разбивку взлома, при этом в отчёте серьёзно связывают его с северокорейскими хакерами.
Атака началась 11 сентября, когда разработчик Radiant Capital получил сообщение в Telegram от кого-то, выдающего себя за проверенного бывшего подрядчика. Согласно сообщению, подрядчик искал новые рабочие возможности в области аудитов смарт-контрактов. Он попросил оставить комментарии по его работе и предоставил ссылку на сжатый PDF, в котором подробно описывались их следующие задания. Хакеры даже имитировали легитимный веб-сайт подрядчика, чтобы придать достоверность.
Zip-файл содержал замаскированный исполняемый файл с именем INLETDRIFT. При открытии он установил вредоносное ПО на устройстве macOS разработчика, предоставив злоумышленникам доступ к системе разработчика. Вредоносное ПО было разработано для связи с сервером, контролируемым хакерами.
К сожалению, скомпрометированный файл был передан другим участникам команды для получения обратной связи, что привело к дальнейшему распространению вредоносного ПО. Злоумышленники использовали свой доступ для выполнения атаки “человек посередине” (MITM). Хотя команда Radiant полагалась на мультиси-гаманцы Gnosis Safe для безопасности, вредоносное ПО перехватывало и манипулировало данными транзакций. На экранах разработчиков транзакции казались легитимными, но хакеры заменяли их на злонамеренные инструкции, нацеленные на собственность контрактов пулов кредитования.
Эксплуатируя уязвимость в слепом подписании в кошельках Ledger, злоумышленники убедили разработчиков авторизовать вызов transfer ownership(), предоставив им контроль над средствами Radiant. Менее чем за три минуты хакеры опустошили средства, удалили задние двери и стерли следы своей деятельности, оставив следователей с минимальными уликами.
Эта атака подчеркнула растущую сложность киберугроз, таких как взлом bitcoin DMM, который привел к закрытию японской криптовалютной биржи наряду с ключевыми уроками. Один из таких заключается в том, что команды должны перейти на онлайн-инструменты для сотрудничества, чтобы уменьшить риски вредоносных программ. Загрузка непроверенных файлов, особенно из внешних источников, должна быть полностью избегаема.
Проверка транзакций на переднем крае имеет решающее значение, но уязвима по отношению к подделке. Проекты должны рассматривать возможность использования продвинутых инструментов проверки и мониторинга цепочки поставок для обнаружения подделок. Также аппаратные кошельки часто не имеют детализированных резюме транзакций, увеличивая риск. Улучшенная поддержка мультиси-транзакций могла бы уменьшить эту проблему.
Укрепление управления активами с помощью временных блокировок и управляющих рамок также может способствовать задержке критических переводов средств, позволяя командам идентифицировать и реагировать на аномалии до того, как активы будут утеряны.
Взлом Radiant Capital – это жестокое напоминание о уязвимостях, которые сохраняются даже в проектах, придерживающихся лучших практик. По мере роста экосистемы defi, увеличивается и изобретательность злоумышленников. Общая бдительность, усиление протоколов безопасности и надёжное управление активами являются необходимыми условиями для предотвращения подобных инцидентов в будущем.
DAO Radiant продолжает поддерживать Mandiant в расследовании при совместном участии Zeroshadow и властей США для заморозки украденных активов. Radiant также выразила желание поделиться полученным опытом, чтобы помочь всей индустрии поднять стандарты безопасности.
