Η Radiant Capital δήλωσε ότι η επίθεση ύψους $50 εκατομμυρίων που υπέστη τον Οκτώβριο στη decentralized finance (DeFi) πλατφόρμα της πραγματοποιήθηκε μέσω malware που στάλθηκε μέσω Telegram από χάκερ με σύνδεση με τη Βόρεια Κορέα, ο οποίος προσποιήθηκε πρώην συνεργάτη.
Σε ενημέρωση στις 6 Δεκεμβρίου, η Radiant ανέφερε ότι η συνεργαζόμενη εταιρεία κυβερνοασφάλειας Mandiant εκτίμησε με “υψηλή βεβαιότητα” ότι η επίθεση προέρχεται από μια ομάδα απειλών που συνδέεται με τη Βόρεια Κορέα (DPRK).
Σύμφωνα με την πλατφόρμα, ένας προγραμματιστής της Radiant έλαβε μήνυμα μέσω Telegram στις 11 Σεπτεμβρίου από έναν “έμπιστο πρώην συνεργάτη” που περιείχε ένα zip αρχείο, ζητώντας ανατροφοδότηση για ένα νέο έργο.
Το αρχείο, σύμφωνα με το cointelegraph.com,όταν μοιράστηκε με άλλους προγραμματιστές για σχολιασμό, περιείχε malware που διευκόλυνε την παραβίαση.
Στις 16 Οκτωβρίου, η πλατφόρμα αναγκάστηκε να διακόψει τις αγορές δανεισμού της, καθώς ο χάκερ απέκτησε πρόσβαση σε ιδιωτικά κλειδιά και έξυπνα συμβόλαια. Ομάδες χάκερ της Βόρειας Κορέας έχουν μακρά ιστορία στόχευσης crypto πλατφορμών, έχοντας κλέψει $3 δισ. σε κρυπτονομίσματα μεταξύ 2017 και 2023.
Μη ανιχνεύσιμη επίθεση
Το κακόβουλο αρχείο δεν προκάλεσε υποψίες, καθώς οι αιτήσεις για ανασκόπηση PDF είναι συνηθισμένες σε επαγγελματικά περιβάλλοντα. Ο τομέας που συνδέθηκε με το zip αρχείο ήταν επίσης καμουφλαρισμένος ώστε να μοιάζει με τον ιστότοπο του πραγματικού συνεργάτη.
Πολλαπλές συσκευές προγραμματιστών της Radiant παραβιάστηκαν, ενώ οι επιθέσεις κρύφτηκαν πίσω από κανονικά δεδομένα συναλλαγών, υπογράφοντας κακόβουλες συναλλαγές στο παρασκήνιο. Οι παραδοσιακοί έλεγχοι και προσομοιώσεις δεν αποκάλυψαν εμφανείς αποκλίσεις.
Η Radiant Capital θεωρεί υπεύθυνο τον UNC4736, γνωστό και ως “Citrine Sleet”, που συνδέεται με το Reconnaissance General Bureau (RGB) της Βόρειας Κορέας και φέρεται να αποτελεί μέρος της συλλογικής ομάδας χάκερ Lazarus Group. Στις 24 Οκτωβρίου, οι χάκερ μετακίνησαν περίπου $52 εκατ. από τα κλεμμένα κεφάλαια.
Επιπτώσεις και προκλήσεις
Η Radiant Capital σημείωσε ότι το περιστατικό αναδεικνύει την ανάγκη για ισχυρότερες λύσεις στο επίπεδο του hardware για την αποκωδικοποίηση και επικύρωση συναλλαγών. Παρά την εφαρμογή αυστηρών διαδικασιών, οι προηγμένες απειλές κατάφεραν να παρακάμψουν τις άμυνες.
Η Radiant είχε επίσης δεχθεί επίθεση τον Ιανουάριο, όταν παραβιάστηκε μέσω flash loan exploit ύψους $4,5 εκατ. Μετά τις δύο παραβιάσεις, η συνολική αξία της κλειδωμένης πλατφόρμας μειώθηκε δραματικά, από πάνω από $300 εκατ. στο τέλος του 2022 σε περίπου $5,81 εκατ. στις 9 Δεκεμβρίου 2024, σύμφωνα με το DefiLlama.
