Vào tháng 10, Radiant Capital đã thông báo rằng một cuộc tấn công trị giá 50 triệu USD nhắm vào nền tảng DeFi (DeFi) của mình được thực hiện thông qua phần mềm độc hại gửi qua Telegram từ một hacker gắn liền với Triều Tiên, hắn giả làm một cựu nhà thầu.
Radiant, trong bản cập nhật ngày 6 tháng 12 về cuộc điều tra đang diễn ra, cho biết rằng công ty an ninh mạng thuê bên ngoài, Mandiant, đã đánh giá “với sự tự tin cao rằng cuộc tấn công này có thể quy cho một nhân tố đe dọa liên quan tới Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK).”
Nền tảng này cho biết một nhà phát triển của Radiant đã nhận được một tin nhắn Telegram kèm với tập tin nén từ một “cựu nhà thầu đáng tin cậy” vào ngày 11 tháng 9 yêu cầu đánh giá ý kiến về một dự án mới mà họ đang lập kế hoạch.
“Khi xem xét, tin nhắn này được nghi ngờ xuất phát từ một nhân tố đe dọa gắn với DPRK, giả danh cựu nhà thầu,” nền tảng này cho biết. “Tập tin ZIP này, khi được chia sẻ để lấy ý kiến phản hồi từ các nhà phát triển khác, cuối cùng đã phát tán phần mềm độc hại giúp tiến hành đột nhập sau đó.”
Vào ngày 16 tháng 10, nền tảng DeFi buộc phải tạm dừng các thị trường cho vay sau khi hacker nắm quyền kiểm soát các khóa riêng tư và hợp đồng thông minh của nhiều người ký. Các nhóm hacker Triều Tiên từ lâu đã nhắm đến các nền tảng Tiền Điện Tử và đã đánh cắp 3 tỷ USD Tiền Điện Tử từ năm 2017 đến năm 2023.
Nguồn: Radiant Capital
Radiant cho biết tập tin này không gây ra mối nghi ngờ nào khác vì “yêu cầu xem xét các file PDF là thông lệ trong môi trường chuyên nghiệp,” và các nhà phát triển “thường xuyên chia sẻ tài liệu dưới định dạng này.”
Miền liên quan đến tập tin ZIP cũng đã giả mạo trang web hợp pháp của nhà thầu.
Nhiều thiết bị của các nhà phát triển Radiant đã bị tấn công trong cuộc tấn công này, và các giao diện phía trước hiển thị dữ liệu giao dịch vô hại trong khi các giao dịch độc hại được ký ngầm sau lưng.
“Kiểm tra và mô phỏng truyền thống không cho thấy những sai sót rõ ràng, khiến mối đe dọa trở nên vô hình trong các giai đoạn đánh giá thông thường,” theo lời nền tảng này bổ sung.
“Sự lừa dối này được thực hiện một cách trơn tru đến mức ngay cả với những thực hành tốt nhất tiêu chuẩn của Radiant, chẳng hạn như mô phỏng giao dịch bằng Tenderly, kiểm tra dữ liệu tải trọng và tuân theo SOP tiêu chuẩn ngành ở mỗi bước, những kẻ tấn công vẫn có thể xâm nhập vào nhiều thiết bị của nhà phát triển,” Radiant viết.
Một ví dụ về PDF đánh lừa có thể được sử dụng bởi một nhóm hacker độc hại. Nguồn: Radiant Capital
Radiant Capital tin rằng nhân tố đe dọa chịu trách nhiệm được biết đến dưới cái tên “UNC4736,” cũng được gọi là “Citrine Sleet” — được cho là có liên kết với cơ quan tình báo chính của Triều Tiên, Cục Trinh sát Tổng đồng (RGB), và nhiều khả năng là một phân nhóm của tổ chức hacker Lazarus Group.
Các hacker đã di chuyển khoảng 52 triệu USD từ số tiền bị đánh cắp vào ngày 24 tháng 10.
“Sự cố này chứng minh rằng ngay cả những SOP nghiêm ngặt, ví phần cứng, công cụ mô phỏng như Tenderly và đánh giá con người cẩn thận vẫn có thể bị vượt qua bởi những nhân tố đe dọa cực kỳ tinh vi,” Radiant Capital viết trong bản cập nhật của mình.
“Việc phụ thuộc vào việc ký ngầm và kiểm tra phía trước mà có thể bị giả mạo đòi hỏi phát triển các giải pháp mạnh mẽ hơn ở cấp độ phần cứng để mã hóa và xác minh tải trọng giao dịch,” nền tảng này bổ sung.
Đây không phải là lần đầu tiên Radiant bị tấn công trong năm nay. Nền tảng này đã tạm ngưng thị trường cho vay vào tháng 1 sau vụ khai thác cho vay chớp nhoáng trị giá 4,5 triệu USD.
Sau hai vụ khai thác trong năm nay, tổng giá trị khóa của Radiant đã giảm đáng kể, từ hơn 300 triệu USD vào cuối năm ngoái xuống chỉ còn khoảng 5,81 triệu USD vào ngày 9 tháng 12, theo DefiLlama.
