Radiant Capital Hack: Hur hackare använde en PDF för att stjäla 50 miljoner dollar

$50 Miljoner Hack, en Tydlig Varning för Defi-industrin

Komplexiteten och precisionen i en nylig attack på Radiant Capital, ett decentraliserat cross-chain utlåningsprotokoll byggt på Layerzero, har avslöjat ytterligare ett lager av sårbarhet, till och med i välskyddade defi-projekt.

Den 16 oktober drabbades Radiant Capital av ett intrång som resulterade i stölden av cirka $50 miljoner, med säkerhetsexperter och framstående utvecklare, såsom @bantg, uttryckande oro över attackens sofistikering. Som @bantg noterade, “denna nivå av attack är verkligen skrämmande. Såvitt jag vet har de komprometterade undertecknarna följt bästa praxis.”

En nylig incidentrapport från Radiant Capital tillsammans med en X-tråd av OneKeyHQ visade en steg-för-steg genomgång av hacken med rapporten som starkt kopplar hacken till nordkoreanska hackare.

Attacken började den 11 september, när en utvecklare på Radiant Capital mottog ett Telegram-meddelande från någon som utgav sig för att vara en betrodd tidigare entreprenör. Enligt meddelandet letade entreprenören efter en ny jobbmöjlighet inom smarta kontraktsrevisioner. Det bad om kommentarer på entreprenörens arbete och tillhandahöll en länk till en komprimerad PDF som beskrev deras nästa uppdrag. Hackarna imiterade till och med entreprenörens legitima webbplats för att lägga till trovärdighet.

Zip-filen innehöll en förklädd exekverbar fil vid namn INLETDRIFT. Vid öppning installerades skadlig programvara på utvecklarens macOS-enhet, vilket gav angriparna tillgång till utvecklarens system. Den skadliga programvaran var designad för att kommunicera med en hackerstyrd server.

Tragiskt nog delades den komprometterade filen med andra teammedlemmar för feedback, vilket ytterligare spred den skadliga programvaran. Angriparna använde sin åtkomst för att utföra en man-in-the-middle (MITM) attack. Medan Radiants team förlitade sig på Gnosis Safe multisig plånböcker för säkerhet, avlyssnade och manipulerade den skadliga programvaran transaktionsdata. På utvecklarnas skärmar verkade transaktionerna legitima, men hackarna ersatte dem med skadliga instruktioner som riktade ägandet av utlåningskontraktens pooler.

Genom att utnyttja en blind signatur sårbarhet i Ledger-plånböcker övertygade angriparna utvecklarna att godkänna ett överförings ägarskap() anrop, vilket gav dem kontroll över Radiants medel. På under tre minuter tömde hackarna medlen, borttagandet backdörrar och raderade spår av sina aktiviteter, vilket lämnade utredare med minimal bevisning.

Denna attack belyste den ökande sofistikeringen av cyberhot såsom DMM bitcoin intrånget som ledde till nedläggningen av den japanska kryptovalutabörsen tillsammans med viktiga lärdomar. En sådan är att team måste flytta till online-samarbetsverktyg för att minska riskerna för skadlig kod. Nedladdning av icke-verifierade filer, särskilt från externa källor, bör helt undvikas.

Front-end transaktionsverifiering är avgörande men sårbar för spoofing. Projekt bör överväga avancerade verifieringsverktyg och övervakning av leveranskedjan för att upptäcka manipulation. Dessutom saknar hårdvaruplånböcker ofta detaljerade transaktionssammanfattningar, vilket ökar risken. Förbättrat stöd för multi-sig transaktioner kan mildra detta problem.

Att stärka tillgångsförvaltningen med tidslås och styrningsramverk kan också bidra till att fördröja kritiska medelsöverföringar, vilket ger team möjlighet att identifiera och respondera på anomalier innan tillgångar går förlorade.

Radiant Capital-hacket är en tydlig påminnelse om de sårbarheter som kvarstår även i projekt som följer bästa praxis. När defi-ekosystemet växer, ökar också angriparnas uppfinningsrikedom. Branschövergripande vaksamhet, starkare säkerhetsprotokoll och robust förvaltningsförvaltning är avgörande för att förhindra sådana incidenter i framtiden.

Radiant DAO fortsätter att stödja Mandiant i sin utredning tillsammans med samarbete från Zeroshadow och amerikanska myndigheter för att frysa stulna tillgångar. Radiant har också uttryckt sin önskan att dela vunna erfarenheter för att hjälpa hela branschen att höja säkerhetsstandarderna.