افشای هک ۵۰ میلیون دلاری در Radiant Capital مرتبط با هکرهای وابسته به کره شمالی
Radiant Capital اعلام کرده است که هکی که ۵۰ میلیون دلار از پلتفرم مالی غیرمتمرکز (DeFi) آن به سرقت برده، توسط هکری وابسته به کره شمالی انجام شده است.
بر اساس بهروزرسانی در ۶ دسامبر ، شرکت امنیت سایبری Mandiant با «اطمینان بالا» نتیجهگیری کرده که این حمله را میتوان به عامل تهدیدی مرتبط با جمهوری دموکراتیک خلق کره (DPRK) نسبت داد.
این حمله از تاریخ ۱۱ سپتامبر آغاز شد، زمانی که توسعهدهندهای از Radiant پیامی در تلگرام دریافت کرد که به نظر میرسید از یک پیمانکار سابق قابل اعتماد باشد.
بدافزار مخفی در پیام باعث هک شد
این پیام شامل فایلی زیپ بود که نظرخواهی درباره پروژهای جدید را درخواست میکرد.
Radiant اعلام کرد که حالا باور دارد که این پیام توسط هکری وابسته به DPRK که خود را به جای پیمانکار جا زده بود، ارسال شده است.
وقتی فایل بین توسعهدهندگان به اشتراک گذاشته شد، بدافزار آن منتشر شد و منجر به نفوذ امنیتی گردید.
در ۱۶ اکتبر، این نفوذ تشدید شد، زیرا هکرها به کنترل چند کلید خصوصی و قرارداد هوشمند دست یافتند، که موجب شد Radiant بازارهای وامدهی خود را متوقف کند.
این پلتفرم خاطرنشان کرد که فایل زیپ نگرانیهای فوری را برنیانگیخت چرا که بررسی اسناد در فرمت PDF در محیطهای حرفهای رایج است.
علاوه بر این، دامنه مرتبط با فایل به نحوی ساخته شد که از وبسایت اصلی پیمانکار تقلید میکرد، که به قویتر شدن فریب کمک کرد.
بدافزار دستگاههای توسعهدهندگان متعددی را آلوده کرد و به مهاجمان اجازه داد که دادههای تراکنشها را دستکاری کنند.
Radiant توضیح داد که رابطهای کاربری جلوههای خود را با اطلاعات معمولی نشان میدادند در حالی که تراکنشهای مخرب در پسزمینه پردازش میشدند.
تدابیر ایمنی سنتی که توسط پلتفرم مورد استفاده قرار میگرفت، مانند شبیهسازیها در Tenderly و بررسی بارگذاریها، نتوانستند نفوذ را تشخیص دهند.
«بررسیها و شبیهسازیهای سنتی هیچ تخلف واضحی نشان ندادند و این تهدید را در مراحل بررسی عادی تقریباً نامرئی میکردند،» افزود.
«این فریب به قدری بدون نقص انجام شد که حتی با بهترین روشهای معمول Radiant، مانند شبیهسازی تراکنشها در Tenderly، بررسی دادههای بارگذاری و پیروی از SOP های استاندارد صنعتی در هر مرحله، مهاجمان توانستند دستگاههای توسعهدهندگان متعددی را آلوده کنند.»
مهاجمین احتمالاً به کره شمالی مرتبط هستند
مهاجمینی که به نامهای «UNC4736» یا «Citrine Sleet» شناخته شدهاند، به کره شمالی و سازمان کل شناسایی آن (RGB) و احتمالاً به گروه شرور معروف Lazarus مرتبط هستند.
این گروه به سرقت حدود ۳ میلیارد دلار ارز دیجیتال بین سالهای ۲۰۱۷ تا ۲۰۲۳ متهم شده است.
پس از هک اکتبر، حدود ۵۲ میلیون دلار از وجوه سرقتی توسط هکرها در تاریخ ۲۴ اکتبر جابجا شد.
Radiant Capital این حادثه را به عنوان یادآوری جدی از تهدیدات تکاملی که پلتفرمهای DeFi با آن مواجهاند و محدودیتهای اقدامات امنیتی موجود توصیف کرد.
این اولین حمله بزرگ به Radiant در سال جاری نیست.
در ماه ژانویه، این پلتفرم دچار یک بهرهبرداری وام فلشی به مبلغ ۴.۵ میلیون دلار شد که بازارهای وامدهی آن را نیز مجبور به توقف کرد.
بر اساس گزارشات، کره جنوبی کره شمالی را به سازماندهی هک سال ۲۰۱۹ روی صرافی ارز دیجیتال Upbit متهم کرده است که نتیجه آن سرقت ۳۴۲,۰۰۰ اتر بوده که در آن زمان ارزشی معادل ۴۱.۵ میلیون دلار داشت.
وجوه سرقت شده که اکنون ارزشی بالغ بر ۱ میلیارد دلار دارند، به عنوان یکی از بزرگترین سرقتهای ارز دیجیتال مرتبط با کره شمالی شناخته شده است. آژانس پلیس ملی کره جنوبی پنجشنبه اعلام کرد.