Radiant Capital Hack: Як хакери використали PDF, щоб вкрасти $50 мільйонів

Злом на $50 мільйонів — суворе попередження для індустрії Defi

Складність і точність нещодавньої атаки на Radiant Capital, децентралізований протокол кредитування крос-ланцюга, побудований на Layerzero, виявила ще один шар уразливості, навіть у добре захищених defi-проектах.

16 жовтня Radiant Capital зазнав порушення безпеки, в результаті якого було вкрадено близько $50 мільйонів, а експерти з безпеки та відомі розробники, такі як @bantg, висловлювали занепокоєння щодо складності атаки. Як зауважив @bantg, “такий рівень атаки викликає справжній страх. Наскільки мені відомо, скомпрометовані підписанти дотримувалися найкращих практик.”

Недавній звіт про інцидент від Radiant Capital разом із ниткою на X від OneKeyHQ показав покроковий аналіз злому, у якому звіт сильно зв’язує злом з північнокорейськими хакерами.

Атака почалася 11 вересня, коли розробник Radiant Capital отримав повідомлення в Telegram від когось, хто видавав себе за довіреного колишнього підрядника. Згідно з повідомленням, підрядник шукав нову роботу в аудитах смарт-контрактів. Він просив коментарі до роботи підрядника і надав посилання на стиснутий PDF, який детально описував їхнє наступне завдання. Хакери навіть імітували легітимний вебсайт підрядника для надання переконливості.

ZIP-файл містив замаскований виконуваний файл під назвою INLETDRIFT. Після відкриття він встановлював шкідливе програмне забезпечення на пристрій macOS розробника, надаючи зловмисникам доступ до системи розробника. Шкідливе програмне забезпечення було спроєктовано для зв’язку з сервером під контролем хакерів.

Трагічно, скомпрометований файл було надіслано іншим членам команди для отримання відгуків, що ще більше поширило шкідливе ПЗ. Зловмисники використали свій доступ для виконання атаки “людина посередині” (MITM). Поки команда Radiant залежала від мультисиг-гаманців Gnosis Safe для безпеки, шкідливе програмне забезпечення перехоплювало і маніпулювало даними транзакцій. На екранах розробників транзакції виглядали легітимними, але хакери замінювали їх на шкідливі інструкції, націлені на володіння контрактами пулу кредитування.

Використовуючи вразливість сліпого підпису в гаманцях Ledger, укладники вдалося переконати розробників авторизувати виклик transfer ownership(), надаючи їм контроль над фондами Radiant. Менш ніж за три хвилини хакери вичерпали кошти, видалили бекдори і стерли сліди своєї діяльності, залишивши слідчих із мінімальними доказами.

Ця атака підкреслила зростаючу складність кіберзагроз, таких як взлом bitcoin DMM, що призвів до закриття японської кріптобіржі, разом із ключовими висновками. Одним із таких є те, що командам слід переключитися на онлайн-інструменти колаборації для зменшення ризиків шкідливого ПЗ. Завантаження невіріфікованих файлів, особливо з зовнішніх джерел, слід повністю уникати.

Перевірка транзакцій на фронт-енді є важливою, але вразливою до підробки. Проекти повинні розглянути можливість використання передових інструментів перевірки та моніторингу ланцюга поставок для виявлення підробки. Також апаратні гаманці часто мають недостатні підсумки транзакцій, що збільшує ризик. Покращена підтримка мультисиг-транзакцій може зменшити цю проблему.

Посилення управління активами за допомогою блокування часу і управлінських рамок також може сприяти відкладенню критичних переведень коштів, дозволяючи командам ідентифікувати і реагувати на аномалії до втрати активів.

Злом Radiant Capital є суворим нагадуванням про уразливості, які існують навіть у проектах, які дотримуються найкращих практик. Зі зростанням екосистеми defi, зростає і кмітливість зловмисників. Галузева пильність, посилені протоколи безпеки та надійне управління активами є необхідним для запобігання таким інцидентам у майбутньому.

Radiant DAO продовжує підтримувати Mandiant у розслідуванні спільно з співпрацею ZeroShadow та американськими правоохоронними органами для замороження вкрадених активів. Radiant також висловив своє бажання ділитися набутими уроками, щоб допомогти всій індустрії підвищити стандарти безпеки.