Radiant Capital指北韓冒充前承包商進行5000萬美元的黑客攻擊
Radiant Capital指出,10月發生的5000萬美元黑客攻擊是由一名與北韓有關的黑客通過Telegram發送的惡意軟件進行的,並偽裝成一名前承包商。
Radiant在12月6日的持續調查更新中表示,其合約的網絡安全公司Mandiant已經“高度自信”地評估這次攻擊是由一名與朝鮮民主主義人民共和國(DPRK)有關的威脅行為者所為。
該平台表示,一名Radiant的開發者在9月11日收到了來自“可信的前承包商”的Telegram消息,該消息附帶了一個壓縮文件,要求對他們計劃的新項目提供反饋。
“經過審查,懷疑這條消息源自一名冒充前承包商的DPRK相關威脅行為者,”它表示。“這個ZIP文件在其他開發者之間分享以進行反饋,最終傳遞了惡意軟件,促成了後續的入侵。”
10月16日,該去中心化金融(DeFi)平台被迫暫停其借貸市場,因為一名黑客獲得了多個簽名者的私鑰和智能合約的控制權。北韓黑客組織長期以來一直以加密平台為目標,並在2017年至2023年間竊取了30億美元的加密貨幣。
Radiant表示,該文件並未引起其他懷疑,因為“在專業環境中,要求審查PDF是常見的請求”,開發者“經常以這種格式分享文件”。
與ZIP文件相關的域名也偽裝成承包商的合法網站。
在攻擊期間,多個Radiant開發者的設備遭到入侵,前端界面顯示無害的交易數據,而惡意交易則在背景中簽名。
“傳統的檢查和模擬未顯示出明顯的差異,使得這一威脅在正常的審查階段幾乎不可見,”它補充道。
Radiant寫道:“這一欺騙行為進行得如此無縫,即使是Radiant的標準最佳做法,如在Tenderly中模擬交易、驗證有效載荷數據,以及在每個步驟中遵循行業標準的操作程序,攻擊者仍然能夠入侵多個開發者設備。”
Radiant Capital相信,負責此次事件的威脅行為者被稱為“UNC4736”,也被稱為“Citrine Sleet”,相信與北韓的主要情報機構——偵察總局(RGB)有關,並被推測為黑客集體Lazarus Group的一個子集。
黑客在10月24日將約5200萬美元的被盜資金轉移。
Radiant Capital在其更新中寫道:“這一事件證明,即使是嚴格的操作程序、硬件錢包、Tenderly等模擬工具以及仔細的人為審查,也可能被高級威脅行為者繞過。”
它補充道:“對盲簽名和可以被偽裝的前端驗證的依賴,要求開發更強大的硬件級解決方案以解碼和驗證交易有效載荷。”
這不是Radiant今年第一次遭到攻擊。該平台在1月份因一起450萬美元的閃電貸款漏洞而暫停了借貸市場。
根據DefiLlama的數據,經歷了兩次攻擊後,Radiant的總鎖倉價值大幅下降,從去年年底的超過3億美元降至截至12月9日的約581萬美元。
評論
這次事件再次突顯了在當前網絡安全環境中,對於去中心化金融平台來說,如何在防範黑客攻擊和維護用戶資金安全之間取得平衡的挑戰。Radiant Capital面臨的這次安全漏洞,不僅是技術上的失誤,更是對業界標準操作程序的一次嚴峻考驗。隨著黑客技術的日益進步,傳統的安全措施顯然已經無法有效應對這些高度複雜的攻擊。
未來,去中心化金融平台必須考慮更深入的解決方案,包括硬件級的安全措施以及對人員培訓的加強,以應對這些潛在的威脅。這不僅是技術上的挑戰,更是對整個行業信任的考驗。隨著行業的發展,如何重建用戶的信心,將成為所有DeFi平台亟需解決的課題。
以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。
