Radiant Capital Hack: как хакеры использовали PDF, чтобы украсть $50 млн

Сложность и точность недавней атаки на Radiant Capital, децентрализованный кросс-чековый протокол кредитования, построенный на Layerzero, выявила еще один уровень уязвимости даже в хорошо защищенных проектах DeFi.

16 октября Radiant Capital подверглась взлому, в результате которого было украдено около 50 миллионов долларов. Специалисты по безопасности и известные разработчики, такие как @bantg, выразили обеспокоенность сложностью атаки. Как отметил @bantg: "Этот уровень атаки действительно пугает. Насколько мне известно, подписанты следовали лучшим практикам".

Недавний отчет об инциденте от Radiant Capital и сообщение OneKeyHQ показали пошаговый разбор взлома, связав его с северокорейскими хакерами.

Атака началась 11 сентября, когда разработчик Radiant Capital получил сообщение в Telegram от человека, выдававшего себя за доверенного бывшего подрядчика. В сообщении говорилось, что подрядчик искал новую работу в области аудита смарт-контрактов. Он попросил комментарии к своей работе и предоставил ссылку на сжатый PDF с описанием следующего задания. Хакеры даже имитировали легитимный веб-сайт подрядчика, чтобы придать достоверности.

В архиве находился замаскированный исполняемый файл под названием INLETDRIFT. При открытии он установил вредоносное ПО на устройство разработчика MacOS, предоставив злоумышленникам доступ к системе разработчика. Вредоносное ПО было разработано для связи с сервером, контролируемым хакерами.

К сожалению, зараженный файл был распространен среди других членов команды для получения отзывов, распространяя вредоносное ПО дальше. Злоумышленники использовали свой доступ для проведения атаки типа "человек посередине" (MITM). Хотя команда Radiant полагалась на мультиподписные кошельки Gnosis Safe для безопасности, вредоносное ПО перехватывало и изменяло данные транзакций. На экранах разработчиков транзакции выглядели законными, но хакеры заменили их вредоносными инструкциями, направленными на владение контрактами пула кредитования.

Используя уязвимость слепого подписания в кошельках Ledger, злоумышленники убедили разработчиков утвердить вызов передачи прав собственности, получив контроль над средствами Radiant. В течение трех минут хакеры опустошили счета, удалили бэкдоры и стерли следы своей деятельности, оставив следователям минимальные доказательства.

Эта атака подчеркнула растущую изощренность киберугроз, таких как взлом DMM Bitcoin, который привел к закрытию японской криптовалютной биржи, а также важные уроки. Одним из них является то, что команды должны перейти на использование онлайн-инструментов для совместной работы, чтобы снизить риски заражения вредоносным ПО. Загрузка неподтвержденных файлов, особенно из внешних источников, должна быть полностью исключена.

Предварительная проверка транзакций имеет решающее значение, но она уязвима для подмены. Проекты должны рассмотреть возможность использования продвинутых инструментов проверки и мониторинга цепочки поставок для обнаружения подделки. Кроме того, аппаратные кошельки часто не предоставляют подробных сводок транзакций, увеличивая риск. Усиленная поддержка многосторонних транзакций может минимизировать эту проблему.

Укрепление управления активами с помощью временных блокировок и рамок управления также может способствовать задержке критически важных переводов средств, позволяя командам идентифицировать и реагировать на аномалии до потери активов.

Взлом Radiant Capital стал суровым напоминанием о том, что уязвимости сохраняются даже в проектах, следующих лучшим практикам. Поскольку экосистема DeFi растет, растет и изобретательность атакующих. Бдительность на уровне всей отрасли, более строгие протоколы безопасности и надежное управление активами являются ключевыми для предотвращения подобных инцидентов в будущем.

DAO Radiant продолжает поддерживать Mandiant в расследовании вместе с сотрудничеством ZeroShadow и властей США по замораживанию украденных активов. Radiant также выразила желание поделиться полученными уроками, чтобы помочь всей отрасли повысить стандарты безопасности.