Vào ngày 16 tháng 10 năm 2024, Radiant Capital, một giao thức cho vay phi tập trung liên chuỗi xây dựng trên LayerZero, đã trở thành nạn nhân của một cuộc tấn công mạng tinh vi dẫn đến tổn thất lên đến 50 triệu USD.
Cuộc tấn công đã được liên kết với các hacker từ Bắc Triều Tiên, đánh dấu một chương đáng báo động khác trong làn sóng tội phạm mạng đang tập trung vào DeFi (DeFi).
Báo cáo nối liền các tác nhân Bắc Triều Tiên với sự cố Radiant Capital
Một báo cáo từ OneKey, một nhà sản xuất ví phần cứng crypto được Coinbase hỗ trợ, đã xác nhận cuộc tấn công do các hacker Bắc Triều Tiên thực hiện. Báo cáo này có phần từ một bài đăng trên Medium của Radiant Capital, cung cấp thông tin cập nhật về sự cố ngày 16 tháng 10.
Theo báo cáo, Mandiant, một công ty an ninh mạng hàng đầu, tiếp tục liên kết sự cố này với UNC4736, một nhóm liên kết với Bắc Triều Tiên còn được biết đến với tên AppleJeus hoặc Citrine Sleet. Nhóm này hoạt động dưới Bộ Tổng Tham mưu Trinh sát (RGB), cơ quan tình báo chính của Bắc Triều Tiên.
Cuộc điều tra của Mandiant tiết lộ rằng những kẻ tấn công đã lên kế hoạch kỹ lưỡng cho hoạt động của mình. Chúng đã thiết lập các hợp đồng thông minh độc hại trên nhiều mạng blockchain như Arbitrum, Binance Smart Chain, Base và Ethereum. Nỗ lực này phản ánh khả năng tiên tiến của các đối tượng đe dọa do Bắc Triều Tiên hậu thuẫn trong việc nhắm vào ngành DeFi.
Sự xâm nhập bắt đầu bằng một cuộc tấn công phishing vào ngày 11 tháng 9 năm 2024. Một nhà phát triển của Radiant Capital đã nhận được tin nhắn Telegram từ một cá nhân giả danh một nhà thầu tin cậy. Tin nhắn bao gồm một tệp zip được cho là chứa báo cáo kiểm tra hợp đồng thông minh. Tệp này, “Penpie_Hacking_Analysis_Report.zip,” đã nhiễm phần mềm độc hại có tên INLETDRIFT, một backdoor trên macOS cho phép truy cập trái phép vào hệ thống của Radiant.
Khi nhà phát triển mở tệp, nó xuất hiện dưới dạng một PDF hợp pháp. Tuy nhiên, phần mềm độc hại đã âm thầm cài đặt và thiết lập một kết nối backdoor tới miền độc hại atokyonews[.]com, cho phép những kẻ tấn công lây lan phần mềm độc hại hơn nữa trong đội ngũ của Radiant, chiếm đoạt quyền truy cập vào các hệ thống nhạy cảm.
Chiến lược của hacker đã đỉnh điểm trong cuộc tấn công man-in-the-middle (MITM). Bằng cách khai thác các thiết bị bị xâm nhập, họ đã chặn và điều khiển yêu cầu giao dịch trong các ví Gnosis Safe Multisig của Radiant. Dù những giao dịch này có vẻ hợp pháp, phần mềm độc hại đã ngầm điều chỉnh chúng để thực hiện lệnh Transfer Ownership, chiếm quyền kiểm soát các hợp đồng pool cho vay của Radiant.
Thực hiện vụ trộm, tác động lên ngành công nghiệp và bài học rút ra
Dù Radiant đã tuân thủ các tiêu chuẩn tốt nhất, như sử dụng ví phần cứng, mô phỏng giao dịch và công cụ xác minh, phương pháp của những kẻ tấn công đã vượt qua mọi phòng thủ. Chỉ trong vài phút sau khi chiếm quyền sở hữu, hacker đã rút cạn quỹ từ các pool cho vay của Radiant, khiến nền tảng và người dùng bị tổn thất nặng nề.
Cuộc tấn công vào Radiant Capital là lời cảnh báo nghiêm khắc đối với ngành công nghiệp DeFi. Ngay cả những dự án tuân thủ các tiêu chuẩn an ninh nghiêm ngặt cũng có thể trở thành con mồi cho các đối tượng đe dọa tinh vi. Sự cố đã làm nổi bật nhiều lỗ hổng quan trọng, bao gồm:
- Rủi ro Phishing: Cuộc tấn công bắt đầu với một kế hoạch giả danh thuyết phục, nhấn mạnh sự cần thiết của sự cảnh giác cao trước việc chia sẻ tệp không yêu cầu.
- Ký không thấy: Dù cần thiết, ví phần cứng thường chỉ hiển thị các chi tiết giao dịch cơ bản, khiến người dùng khó phát hiện các sửa đổi độc hại. Các giải pháp ở cấp độ phần cứng cải tiến là cần thiết để giải mã và xác thực payload giao dịch.
- An ninh Giao diện: Sự phụ thuộc vào các giao diện để xác minh giao dịch đã tỏ ra không đủ. Các giao diện giả mạo cho phép hacker thao túng dữ liệu giao dịch mà không bị phát hiện.
- Điểm yếu về Quản trị: Sự thiếu hụt của các cơ chế rút lại quyền sở hữu đã khiến các hợp đồng của Radiant dễ bị tổn thương. Việc triển khai khóa thời gian hoặc yêu cầu trì hoãn chuyển tiền có thể cung cấp thời gian phản ứng quan trọng trong các sự cố trong tương lai.
Đáp lại sự cố này, Radiant Capital đã hợp tác với các công ty an ninh mạng hàng đầu, bao gồm Mandiant, zeroShadow và Hypernative, để hỗ trợ điều tra và phục hồi tài sản. Đội ngũ của Radiant DAO cũng đang hợp tác với cơ quan thực thi pháp luật Hoa Kỳ để truy tìm và đóng băng số tiền bị đánh cắp.
Trong bài đăng trên Medium, Radiant cũng tái khẳng định cam kết của mình trong việc chia sẻ bài học rút ra và nâng cao an ninh cho toàn ngành DeFi. Đội ngũ DAO nhấn mạnh tầm quan trọng của việc áp dụng các khung quản trị mạnh mẽ, củng cố an ninh cấp thiết bị và tránh xa những thực tiễn rủi ro như ký không thấy.
“Có vẻ mọi thứ có thể đã dừng lại ở bước 1,” một người dùng trên X bình luận.
Sự cố Radiant Capital tương đồng với một báo cáo gần đây chỉ ra rằng hacker Bắc Triều Tiên tiếp tục thay đổi chiến thuật. Khi tội phạm mạng trở nên tinh vi hơn, ngành công nghiệp cần thích ứng bằng cách ưu tiên minh bạch, các biện pháp an ninh mạnh mẽ, và nỗ lực hợp tác để chống lại những cuộc tấn công như vậy.
