Radiant Capital mengatakan serangan hack senilai $50 juta pada platform kewangan terdesentralisasi (DeFi) mereka pada bulan Oktober dilakukan melalui malware yang dikirim melalui Telegram oleh seorang hacker yang terkait dengan Korea Utara dan menyamar sebagai bekas kontraktor.
Radiant berkata dalam kemas kini 6 Disember mengenai siasatan yang sedang dijalankan bahawa firma keselamatan sibernya yang dikontrak, Mandiant telah menilai "dengan keyakinan tinggi bahawa serangan ini berpunca daripada pelakon ancaman perhubungan Republik Rakyat Demokratik Korea (DPRK)."
Platform itu berkata pemaju Radiant menerima mesej Telegram dengan fail zip daripada "bekas kontraktor yang dipercayai" pada 11 September meminta maklum balas mengenai usaha baharu yang mereka rancang.
"Setelah disemak, mesej ini disyaki berasal daripada pelakon ancaman sejajar DPRK yang menyamar sebagai bekas kontraktor," katanya. "Fail ZIP ini, apabila dikongsi untuk maklum balas antara pembangun lain, akhirnya menghantar perisian hasad yang memudahkan pencerobohan berikutnya."
Pada tanggal 16 Oktober, platform DeFi tersebut terpaksa menghentikan pasar pinjaman setelah seorang hacker mengendalikan beberapa kunci pribadi dan kontrak pintar. Kumpulan penggodaman Korea Utara telah lama menyasarkan platform crypto dan telah mencuri $3 bilion dalam crypto antara 2017 dan 2023.
Sumber: Radiant Capital
Radiant berkata fail itu tidak menimbulkan kecurigaan kerana "permintaan untuk menyemak PDF adalah rutin dalam tetapan profesional," dan pembangun "sering berkongsi dokumen dalam format ini."
Domain yang dikaitkan dengan fail ZIP juga memalsukan laman web kontraktor yang sah.
Berbilang peranti pembangun Radiant telah terjejas semasa serangan itu, dan antara muka hadapan memaparkan data transaksi jinak manakala transaksi berniat jahat ditandatangani di latar belakang.
"Pemeriksaan dan simulasi tradisional tidak menunjukkan ketidaksesuaian yang jelas, sehingga ancaman ini hampir tidak terlihat selama tahap tinjauan normal," tambah mereka.
“Penipuan ini dilakukan dengan lancar sehinggakan walaupun dengan amalan terbaik standard Radiant, seperti mensimulasikan transaksi dalam Tenderly, mengesahkan data muatan dan mengikut SOP standard industri pada setiap langkah, penyerang dapat menjejaskan berbilang peranti pembangun,” tulis Radiant .
Contoh PDF palsu yang dapat digunakan oleh kelompok peretas jahat. Sumber: Radiant Capital
Radiant Capital berkata pelakon ancaman yang bertanggungjawab dikenali sebagai "UNC4736," juga dikenali sebagai "Citrine Sleet," sebuah entiti yang sejajar dengan agensi perisikan utama Korea Utara, Biro Am Peninjau (RGB). Ia mungkin sub-kluster kolektif penggodaman Kumpulan Lazarus.
Para peretas mengalihkan sekitar $52 juta dari dana yang dicuri pada tanggal 24 Oktober.
"Insiden ini menunjukkan bahawa walaupun SOP yang ketat, dompet perkakasan, alat simulasi seperti Tenderly, dan semakan manusia yang teliti boleh dielakkan oleh pelakon ancaman yang sangat maju," tulis Radiant Capital dalam kemas kininya.
Terkait: Serangan hack senilai $58 juta pada Radiant Capital adalah 'pelajaran' yang mahal bagi DeFi
"Pergantungan pada tandatangan buta dan pengesahan bahagian hadapan yang boleh dipalsukan memerlukan pembangunan penyelesaian peringkat perkakasan yang lebih kukuh untuk penyahkodan dan mengesahkan muatan transaksi," tambahnya.
Ini bukan kali pertama Radiant mengalami kompromi tahun ini. Platform tersebut menghentikan pasar pinjaman pada bulan Januari setelah terjadi eksploitasi pinjaman kilat senilai $4,5 juta.
Setelah dua serangan tahun ini, total nilai yang terkunci di Radiant telah turun secara signifikan, dari lebih dari $300 juta pada akhir tahun lalu menjadi sekitar $5,81 juta per tanggal 9 Disember, menurut DefiLlama.