Масштабний злочин на платформі Radiant Capital: $50 мільйонів унаслідок кібератаки

Компанія Radiant Capital повідомила, що кібератака на її платформу децентралізованих фінансів (DeFi) у жовтні, внаслідок якої було викрадено $50 мільйонів, була здійснена за допомогою шкідливого ПЗ, надісланого через Telegram від хакера, пов’язаного з Північною Кореєю, який видавав себе за колишнього підрядника.

Radiant у звіті від 6 грудня про перебіг розслідування заявила, що її контрактна кібербезпекова компанія Mandiant оцінила “з високою впевненістю, що цю атаку можна віднести до загрози, пов’язаної з Корейською Народно-Демократичною Республікою (КНДР)”.

Платформа повідомила, що один з розробників Radiant отримав повідомлення в Telegram з ZIP-файлом від “досвідченого колишнього підрядника” 11 вересня, у якому просили дати зворотний зв’язок щодо нового проекту, який вони планували.

“Після перевірки, це повідомлення підозрюється в тому, що воно походить від загрози, пов’язаної з КНДР, яка видає себе за колишнього підрядника,” – йдеться в повідомленні. “Цей ZIP-файл, коли його надіслали для відгуків іншим розробникам, зрештою приніс шкідливе ПЗ, яке сприяло подальшому проникненню.”

16 жовтня платформа DeFi була змушена призупинити свої кредитні ринки після того, як хакер отримав контроль над кількома приватними ключами підписантів і смарт-контрактами. Північнокорейські хакерські групи вже давно націлюються на крипто-платформи та вкрали $3 мільярди в криптовалютах між 2017 і 2023 роками.

Radiant зазначила, що файл не викликав підозр, оскільки “запити на перегляд PDF-файлів є звичними в професійному середовищі,” а розробники “часто обмінюються документами в цьому форматі.”  

Домен, пов’язаний із ZIP-файлом, також підробляв легітимний веб-сайт підрядника.

Під час атаки було скомпрометовано кілька пристроїв розробників Radiant, а фронт-енд інтерфейси показували звичайні дані транзакцій, тоді як шкідливі транзакції підписувалися у фоновому режимі.

“Традиційні перевірки та моделювання не виявили очевидних розбіжностей, що зробило загрозу практично невидимою під час звичних етапів перегляду,” – додали в Radiant.

“Ця обману була реалізована настільки непомітно, що навіть з більшістю стандартних найкращих практик Radiant, таких як моделювання транзакцій у Tenderly, перевірка даних вантажу і дотримання галузевих стандартів SOP на кожному етапі, зловмисники змогли скомпрометувати кілька пристроїв розробників,” -йдеться в звіті Radiant. 

Radiant Capital заявила, що відповідальна особа за загрозу відома як “UNC4736,” також відома як “Citrine Sleet,” є організацією, пов’язаною з основним розвідувальним агентством Північної Кореї, Генеральним управлінням розвідки (RGB). Вона може бути підгрупою хакерського угрупування Lazarus Group.

Зловмисники перемістили близько $52 мільйонів викрадених коштів з атаки 24 жовтня.

“Цей інцидент демонструє, що навіть строгі SOP, апаратні гаманці, інструменти моделювання, такі як Tenderly, і ретельний людський перегляд можуть бути обійдені дуже досвідченими загрозами,” – написала Radiant Capital у своєму оновленні.

“Залежність від сліпого підписання та поверхневих перевірок, які можуть бути підроблені, вимагає розробки більш сильних рішень на апаратному рівні для декодування та валідації даних транзакцій,” – додали вони. 

Це був не перший раз, коли Radiant була скомпрометована цього року. Платформа призупинила кредитні ринки у січні після експлуатації з використанням флеш-кредиту на $4,5 мільйона.

Після двох експлуатацій цього року загальна заблокована вартість Radiant значно зменшилася, з понад $300 мільйонів наприкінці минулого року до близько $5,81 мільйона станом на 9 грудня, згідно з даними DefiLlama.