Radiant Capital ha rivelato nuove scoperte sull'hacking da 50 milioni di dollari che ha preso di mira la sua piattaforma di finanza decentralizzata (DeFi) in ottobre, attribuendo l'attacco a un gruppo di hacker allineato alla Corea del Nord.
Gli aggressori sono riusciti ad accedervi attraverso uno schema elaborato che prevedeva malware distribuito tramite Telegram.
Hack DeFi da 50 milioni di dollari di Radiant Capital
La violazione, scoperta per la prima volta il 16 ottobre 2024, ha spinto Radiant a collaborare con aziende di sicurezza informatica come Mandiant, zeroShadow, Hypernative e SEAL 911 per indagare e mitigare il danno.
Secondo il post sul blog ufficiale, l'attacco è stato fatto risalire all'11 settembre 2024, quando uno sviluppatore Radiant ha ricevuto un messaggio Telegram da qualcuno che si spacciava per un ex appaltatore. Il messaggio, realizzato per apparire innocuo, richiedeva feedback su un presunto file PDF relativo alla carriera collegato all'audit del contratto intelligente.
Il mittente ha falsificato in modo convincente un sito Web legittimo, riducendo i sospetti. Una volta aperto il file, intitolato Penpie_Hacking_Analysis_Report.zip, è stato distribuito un malware backdoor per macOS denominato INLETDRIFT. Il malware comunicava con un server esterno e appariva innocuo visualizzando un PDF realistico.
Nonostante l'adesione di Radiant a rigorosi protocolli di sicurezza, comprese le simulazioni delle transazioni e le verifiche del carico utile, il malware è riuscito a sfuggire al rilevamento manipolando i dati delle transazioni front-end. Gli sviluppatori hanno inconsapevolmente approvato transazioni dannose, ritenendo che fossero legittime. La pianificazione degli aggressori ha reso l'intrusione quasi non rilevabile durante i controlli di routine.
zeroShadow, un fornitore di soluzioni di sicurezza Web3, ha anche confermato la valutazione di Radiant Capital secondo cui l'hacking è stato opera di attori legati alla Corea del Nord. In una dichiarazione del 9 dicembre, la piattaforma ha affermato:
“Anche noi attribuiamo l’incidente di Radiant Capital del 16 ottobre alla RPDC con grande fiducia sulla base di molteplici indicatori che abbiamo raccolto dentro e fuori dalla catena. Abbiamo tracciato i movimenti verso Hyperliquid come derivanti dalla mancata revoca delle autorizzazioni da parte degli utenti di Radiant e non dai fondi rubati nell'incidente iniziale."
Il TVL di Radiant è diminuito di oltre il 97% quest'anno
Radiant Capital è un protocollo di prestito e prestito decentralizzato che integra funzionalità cross-chain attraverso l'uso della tecnologia LayerZero. Gli ultimi dati di DefiLlama collocano il suo valore totale bloccato (TVL) a poco più di 6 milioni di dollari.
L’ hacking del 16 ottobre non è la prima volta che Radiant viene compromesso quest’anno. A gennaio è stata sfruttata una vulnerabilità del contratto intelligente, costando alla piattaforma 4,5 milioni di dollari, durante i quali il suo TVL è stato significativamente più alto, superando i 300 milioni di dollari, evidenziando un calo significativo degli asset bloccati nel corso dell'anno nonostante la corsa al rialzo.
Il post Le società di sicurezza Web3 confermano il ruolo della Corea del Nord nell'hacking di capitali è apparso per la prima volta su CryptoPotato .