Il 16 ottobre 2024, Radiant Capital, un protocollo di prestito cross-chain decentralizzato basato su LayerZero, è stato vittima di un attacco informatico altamente sofisticato che ha provocato una sconcertante perdita di 50 milioni di dollari.
Da allora l’attacco è stato collegato agli hacker nordcoreani, segnando un altro capitolo allarmante nella crescente ondata di criminalità informatica che prende di mira la finanza decentralizzata (DeFi).
Il rapporto collega gli attori nordcoreani all'incidente di Radiant Capital
Un rapporto di OneKey, un produttore di portafogli hardware crittografici sostenuto da Coinbase, ha attribuito l'attacco agli hacker nordcoreani. Il rapporto si estende da un recente post condiviso da Radiant Capital, che forniva un aggiornamento sull'incidente del 16 ottobre .
Secondo quanto riferito, Mandiant, una delle principali società di sicurezza informatica, ha ulteriormente collegato la violazione a UNC4736, un gruppo allineato alla RPDC noto anche come AppleJeus o Citrine Sleet. Questo gruppo opera sotto il Reconnaissance General Bureau (RGB), la principale agenzia di intelligence della Corea del Nord.
L'indagine di Mandiant ha rivelato che gli aggressori hanno pianificato meticolosamente la loro operazione. Hanno messo in scena contratti intelligenti dannosi su più reti blockchain, tra cui Arbitrum , Binance Smart Chain, Base ed Ethereum . Questi sforzi riflettono le capacità avanzate degli autori delle minacce sostenuti dalla RPDC nel prendere di mira il settore DeFi.
La violazione è iniziata con un attacco di phishing calcolato l'11 settembre 2024. Uno sviluppatore di Radiant Capital ha ricevuto un messaggio Telegram da un individuo che si spacciava per un appaltatore di fiducia. Il messaggio includeva un file zip contenente presumibilmente un rapporto di audit del contratto intelligente. Questo file, "Penpie_Hacking_Analysis_Report.zip", era intriso di malware noto come INLETDRIFT, una backdoor macOS che facilitava l'accesso non autorizzato ai sistemi di Radiant.
Quando lo sviluppatore ha aperto il file, sembrava contenere un PDF legittimo. Tuttavia, il malware si è installato silenziosamente, stabilendo una connessione backdoor a un dominio dannoso su atokyonews[.]com. Ciò ha consentito agli aggressori di diffondere ulteriormente il malware tra i membri del team di Radiant, ottenendo un accesso più approfondito ai sistemi sensibili.
La strategia degli hacker è culminata in un attacco man-in-the-middle (MITM). Sfruttando i dispositivi compromessi, hanno intercettato e manipolato le richieste di transazione all'interno dei portafogli Gnosis Safe Multisig di Radiant. Sebbene le transazioni apparissero legittime agli sviluppatori, il malware le alterava di nascosto per eseguire una chiamata di trasferimento di proprietà, prendendo il controllo dei contratti del pool di prestito di Radiant.
Esecuzione della rapina, implicazioni nel settore e lezioni apprese
Nonostante l'adesione di Radiant alle migliori pratiche, come l'utilizzo di portafogli hardware, simulazioni di transazioni e strumenti di verifica, i metodi degli aggressori hanno aggirato tutte le difese. Nel giro di pochi minuti dopo essersi assicurati la proprietà, gli hacker hanno prosciugato i fondi dai pool di prestito di Radiant, lasciando la piattaforma e i suoi utenti vacillanti.
L’hacking di Radiant Capital funge da severo avvertimento per l’industria DeFi. Anche i progetti che aderiscono a rigorosi standard di sicurezza possono diventare preda di sofisticati autori di minacce. L’incidente ha evidenziato vulnerabilità critiche, tra cui:
- Rischi di phishing : l'attacco è iniziato con un convincente schema di furto d'identità, sottolineando la necessità di una maggiore vigilanza contro la condivisione di file non richiesti.
- Firma cieca : sebbene essenziali, i portafogli hardware spesso mostrano solo i dettagli di base della transazione, rendendo difficile per gli utenti rilevare modifiche dannose. Sono necessarie soluzioni migliorate a livello hardware per decodificare e convalidare i payload delle transazioni.
- Sicurezza front-end : il ricorso alle interfacce front-end per la verifica delle transazioni si è rivelato inadeguato. Le interfacce contraffatte hanno consentito agli hacker di manipolare i dati delle transazioni senza essere rilevati.
- Debolezze nella governance : l’assenza di meccanismi per revocare i trasferimenti di proprietà ha reso vulnerabili i contratti di Radiant. L’implementazione di blocchi temporali o la richiesta di trasferimenti di fondi ritardati potrebbero fornire tempi di reazione critici in caso di incidenti futuri.
In risposta alla violazione, Radiant Capital ha coinvolto aziende leader nel settore della sicurezza informatica, tra cui Mandiant, zeroShadow e Hypernative. Queste aziende assistono nelle indagini e nel recupero dei beni. Il Radiant DAO sta inoltre collaborando con le forze dell'ordine statunitensi per rintracciare e congelare i fondi rubati.
Nel post su Medium, Radiant ha anche ribadito il suo impegno a condividere le lezioni apprese e a migliorare la sicurezza nel settore DeFi. La DAO ha sottolineato l’importanza di adottare solidi quadri di governance, rafforzare la sicurezza a livello di dispositivo e abbandonare pratiche rischiose come la firma cieca.
"Sembra che le cose avrebbero potuto fermarsi al passaggio 1", ha commentato un utente su X.
L'incidente di Radiant Capital è in linea con un recente rapporto, che ha indicato come gli hacker nordcoreani continuino a cambiare tattica . Man mano che i criminali informatici diventano sempre più sofisticati, il settore deve adattarsi dando priorità alla trasparenza, a forti misure di sicurezza e agli sforzi di collaborazione per combattere tali attacchi.
Il post Hack di capitale radiante da 50 milioni di dollari ricondotto ai criminali informatici nordcoreani è apparso per la prima volta su BeInCrypto .