Radiant Capital：朝鲜黑客假冒前承包商实施5000万美元攻击

作者：Stephen Katte，CoinTelegraph；编译：陶朱，金色财经

Radiant Capital 表示，10 月份，其去中心化金融 (DeFi) 平台遭到黑客攻击，损失金额达 5000 万美元，黑客通过 Telegram 发送恶意软件，该恶意软件由一名与朝鲜结盟的黑客冒充前承包商实施。

Radiant 在 12 月 6 日的调查更新中表示，其签约的网络安全公司 Mandiant 已评估“高度确信，此次攻击是与朝鲜有联系的威胁行为者所为”。

该平台表示，9 月 11 日，Radiant 的一名开发人员收到了一条 Telegram 消息，其中包含一个 zip 文件，来自一位“值得信赖的前承包商”，要求对他们正在计划的新项目提供反馈。

“经审查，该消息被怀疑来自一名与朝鲜结盟的威胁行为者，冒充前承包商，”它说。 “这个 ZIP 文件在其他开发人员之间共享以征求反馈时，最终传播了恶意软件，从而促成了后续入侵。”

10 月 16 日，一名黑客控制了多位签名者的私钥和智能合约，导致 DeFi 平台被迫暂停借贷市场。朝鲜黑客组织长期以来一直以加密货币平台为目标，并在 2017 年至 2023 年期间窃取了价值 30 亿美元的加密货币。

来源：Radiant Capital

Radiant 表示，该文件没有引起任何其他怀疑，因为“在专业环境中，审查 PDF 的请求是常规做法”，而开发人员“经常以这种格式共享文档”。

与 ZIP 文件关联的域也欺骗了承包商的合法网站。

多台 Radiant 开发人员设备在攻击期间受到攻击，前端界面显示良性交易数据，而恶意交易则在后台签名。

“传统的检查和模拟没有显示出明显的差异，使得威胁在正常审查阶段几乎不可见，”它补充道。

“这种欺骗是如此天衣无缝地进行，即使采用 Radiant 的标准最佳实践，例如在 Tenderly 中模拟交易、验证有效载荷数据以及在每一步都遵循行业标准 SOP，攻击者仍能够入侵多台开发人员设备，”Radiant 写道。

恶意黑客组织可能使用的钓鱼 PDF 示例。来源：Radiant Capital

Radiant Capital 认为，负责此案的威胁行为者被称为“UNC4736”，也称为“Citrine Sleet”——据信与朝鲜主要情报机构侦察总局 (RGB) 有联系，并推测是黑客组织 Lazarus Group 的一个分支。

黑客在 10 月 24 日转移了约 5200 万美元的被盗资金。

“这起事件表明，即使是严格的 SOP、硬件钱包、Tenderly 等模拟工具和仔细的人工审查，也可能被非常先进的威胁行为者绕过，”Radiant Capital 在其更新中写道。

“对可能被欺骗的盲签名和前端验证的依赖要求开发更强大的硬件级解决方案来解码和验证交易有效负载，”它补充道。

这不是Radiant今年第一次受到攻击。该平台在1月份因450万美元的闪电贷漏洞而暂停了借贷市场。

根据DefiLlama的数据，在今年两次漏洞利用之后，Radiant的总锁定价值大幅下降，从去年年底的3亿多美元降至12月9日的581万美元左右。