Radiant Capital Hack:黑客如何使用PDF窃取5000万美元

通过利用Ledger钱包的盲签缺陷,黑客说服开发人员批准了一个转移所有权()调用,从而获得了Radiant资金的控制权。在不到三分钟的时间内,黑客掌握了资金,清除了后门,并删除了他们活动的踪迹,只留下了调查人员很少的证据

Radiant Capital Hack:黑客如何使用PDF窃取5000万美元
Photo by Carl Kho / Unsplash

5000万次黑客攻击警告Defi行业坚固性

最近Radiant Capital的一次复杂而精确的攻击,揭示了在Ledger层上构建的decentralized交叉链借贷协议中存在的另一个弱点,即即使是在decentralized金融(defi)项目中也是如此。

10月16日,Radiant Capital遭受了一次入侵,导致大约5000万美元被盗,安全专家和知名开发人员,如@bantg表达了对这种攻击复杂性的担忧。正如@bantg所指出的那样,“这种水平的攻击真的很可怕。据我所知,受影响的签名者都遵循了最佳实践。”

最近,Radiant Capital的一份事件报告以及OneKeyHQ的一个X线程展示了这次黑客攻击的步骤,并将该次黑客攻击与朝鲜黑客联系起来。

攻击始于9月11日,当时Radiant Capital的一位开发人员收到了一条来自冒充为信任的前合同人的电报。根据该消息,该合同人正在寻找智能合约审计工作机会。它要求对合同人的工作提出意见,并提供了一个包含其下一项任务详细说明的压缩PDF文件的链接。黑客甚至模仿了合法网站的形式来增加可信度。

压缩文件中包含一个名为INLETDRIFT的伪装可执行文件。打开后,它在macOS设备上安装了恶意软件,从而给黑客提供了系统访问权限。该恶意软件被设计成与黑客控制的服务器通信。

不幸的是,被感染的文件被分享给其他团队成员以获取反馈,进一步传播了恶意软件。黑客利用他们的访问权限执行了中间人(MITM)攻击。尽管Radiant的团队依靠Gnosis Safe多重签名钱包进行安全保护,但恶意软件截获并操纵了交易数据。在开发人员的屏幕上,交易看起来是合法的,但黑客将它们替换为针对借贷池合约所有权的恶意指令。

通过利用Ledger钱包的盲签缺陷,黑客说服开发人员批准了一个转移所有权()调用,从而获得了Radiant资金的控制权。在不到三分钟的时间内,黑客掌握了资金,清除了后门,并删除了他们活动的踪迹,只留下了调查人员很少的证据。

这次攻击突显了威胁的增长,例如DMM比特币泄露导致日本加密交易所关闭,这些威胁包括日本加密交易所的关闭以及关键的学习经验。其中之一是团队必须转向在线协作工具,以减少恶意软件的风险。完全避免下载未经核实的文件,尤其是来自外部来源的文件。

前端交易验证至关重要,但容易受到欺骗。项目应考虑先进的验证工具和供应链监测来检测修改。此外,硬件钱包通常缺乏详细的交易摘要,从而增加了风险。增强支持多重签名交易可以缓解这个问题。

通过增强资产治理,包括延迟基金转移的时效性和治理框架,可以使团队在资产丢失之前能够识别和响应异常情况。

Radiant Capital的黑客攻击是对坚固性持续存在的弱点的一个鲜明警告,即使遵循最佳实践的项目也是如此。随着defi生态系统的增长,黑客的狡猾程度也在增加。行业层面的警惕、更强大的安全协议和强大的资产治理是防止类似事件发生的必要条件。

Radiant DAO继续支持Mandiant在其调查中,并与Zeroshadow和美国法律当局合作冻结被盗资产。Radiant还表达了希望与整个行业共享经验,以提高安全标准的愿望。

Read More