Op 16 oktober 2024 werd Radiant Capital, een gedecentraliseerd cross-chain leenprotocol gebouwd op LayerZero, het slachtoffer van een zeer geavanceerde cyberaanval die resulteerde in een verlies van maar liefst $50 miljoen.
De aanval is sindsdien gelinkt aan Noord-Koreaanse hackers, wat een nieuw alarmerend hoofdstuk markeert in de groeiende golf van cybercriminaliteit gericht op gedecentraliseerde financiën (DeFi).
Rapport verbindt Noord-Koreaanse actoren aan Radiant Capital-incident
Een rapport van OneKey, een door Coinbase gesteunde fabrikant van crypto hardware wallets, schreef de aanval toe aan Noord-Koreaanse hackers. Het rapport is een vervolg op een recent medium bericht gedeeld door Radiant Capital, dat een incidentupdate gaf over de aanval van 16 oktober.
Volgens berichten heeft Mandiant, een toonaangevend cybersecuritybedrijf, de inbreuk verder gelinkt aan UNC4736, een aan de DPRK gelieerde groep die ook bekend staat als AppleJeus of Citrine Sleet. Deze groep opereert onder het Reconnaissance General Bureau (RGB), de belangrijkste inlichtingendienst van Noord-Korea.
Uit het onderzoek van Mandiant bleek dat de aanvallers hun operatie zorgvuldig hadden gepland. Ze plaatsten kwaadaardige smart contracts op meerdere blockchain-netwerken, waaronder Arbitrum, Binance Smart Chain, Base en Ethereum. Deze inspanningen weerspiegelen de geavanceerde capaciteiten van door de DPRK gesteunde dreigingsactoren in het richten op de DeFi-sector.
De inbreuk begon met een berekende phishing-aanval op 11 september 2024. Een ontwikkelaar van Radiant Capital ontving een Telegram-bericht van een persoon die zich voordeed als een vertrouwde aannemer. Het bericht bevatte een zip-bestand dat naar verluidt een auditrapport van een smart contract bevatte. Dit bestand, “Penpie_Hacking_Analysis_Report.zip,” was besmet met malware genaamd INLETDRIFT, een macOS backdoor die ongeautoriseerde toegang tot Radiant’s systemen mogelijk maakte.
Toen de ontwikkelaar het bestand opende, leek het een legitieme PDF te bevatten. Echter, de malware installeerde zich stilletjes en legde een backdoorverbinding naar een kwaadaardig domein op atokyonews[.]com. Dit stelde de aanvallers in staat om de malware verder te verspreiden onder de teamleden van Radiant, waardoor ze diepere toegang kregen tot gevoelige systemen.
De strategie van de hackers culmineerde in een man-in-the-middle (MITM) aanval. Door gecompromitteerde apparaten te exploiteren, onderschepten en manipuleerden ze transactieaanvragen binnen Radiant’s Gnosis Safe Multisig wallets. Terwijl transacties legitiem leken voor ontwikkelaars, veranderde de malware ze heimelijk om een transfer Ownership call uit te voeren, waardoor ze de controle over Radiant’s leenpoolcontracten overnamen.
Uitvoering van de overval, industrie-implicaties en lessen geleerd
Ondanks Radiant’s naleving van best practices, zoals het gebruik van hardware wallets, transactiesimulaties en verificatietools, omzeilden de methoden van de aanvallers alle verdedigingen. Binnen enkele minuten na het verkrijgen van eigendom, haalden de hackers fondsen uit Radiant’s leenpools, waardoor het platform en zijn gebruikers geschokt achterbleven.
De hack van Radiant Capital dient als een duidelijke waarschuwing voor de DeFi-industrie. Zelfs projecten die zich houden aan strenge beveiligingsnormen kunnen ten prooi vallen aan geavanceerde dreigingsactoren. Het incident benadrukte kritieke kwetsbaarheden, waaronder:
- Phishing Risico’s: De aanval begon met een overtuigend imitatieschema, wat de noodzaak benadrukt van verhoogde waakzaamheid tegen ongevraagde bestandsoverdrachten.
- Blind Signing: Hoewel essentieel, tonen hardware wallets vaak alleen basis transactiegegevens, waardoor het moeilijk is voor gebruikers om kwaadaardige wijzigingen te detecteren. Verbeterde hardware-oplossingen zijn nodig om transactiegegevens te decoderen en te valideren.
- Front-End Beveiliging: Het vertrouwen op front-end interfaces voor transactie verificatie bleek onvoldoende. Vervalste interfaces stelden hackers in staat om transactiegegevens onopgemerkt te manipuleren.
- Governance Zwakheden: Het ontbreken van mechanismen om eigendomsoverdrachten in te trekken, maakte Radiant’s contracten kwetsbaar. Het implementeren van tijdsloten of het vereisen van vertraagde fondsoverdrachten kan kritieke reactietijd bieden bij toekomstige incidenten.
Als reactie op de inbreuk heeft Radiant Capital toonaangevende cybersecuritybedrijven ingeschakeld, waaronder Mandiant, zeroShadow en Hypernative. Deze bedrijven helpen bij het onderzoek en het terughalen van activa. De Radiant DAO werkt ook samen met de Amerikaanse wetshandhaving om gestolen fondsen op te sporen en te bevriezen.
In het Medium-bericht bevestigde Radiant ook zijn toewijding om geleerde lessen te delen en de beveiliging in de DeFi-industrie te verbeteren. De DAO benadrukte het belang van het aannemen van sterke governance-raamwerken, het versterken van apparaatbeveiliging en het vermijden van risicovolle praktijken zoals blind signing.
“Het lijkt erop dat het bij stap 1 had kunnen stoppen,” merkte een gebruiker op X op.
Het incident met Radiant Capital sluit aan bij een recent rapport, dat aangaf hoe Noord-Koreaanse hackers hun tactieken blijven veranderen. Naarmate cybercriminelen geavanceerder worden, moet de industrie zich aanpassen door prioriteit te geven aan transparantie, sterke beveiligingsmaatregelen en samenwerkingsinspanningen om dergelijke aanvallen te bestrijden.
Wirex
YouHodler
eToro
eToro
eToro
eToro
Coinbase
Margex
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
