Der Radiant Capital Hack: Wie nordkoreanische Hacker mit einem einzigen PDF Hunderte Millionen stahlen
Bei einem der ausgeklügeltsten Cyberangriffe des Jahres 2023 verlor Radiant Capital, ein dezentrales Cross-Chain-Lending-Protokoll, das auf LayerZero basiert, etwa 50 Millionen US-Dollar an Hacker. Die Komplexität und Präzision dieses Angriffs enthüllten die fortgeschrittenen Fähigkeiten staatlich unterstützter nordkoreanischer Hacker und verschoben die Grenzen dessen, was viele für möglich hielten bei Krypto-Sicherheitsverletzungen.
Der perfekte Social-Engineering-Angriff
Am 11. September 2023 erhielt ein Radiant Capital-Entwickler eine scheinbar harmlose Telegram-Nachricht. Der Absender gab sich als ehemaliger Auftragnehmer aus, der behauptete, seine Karriere auf Smart-Contract-Audits umgestellt zu haben und Feedback zu einem Projektbericht wünschte. Diese Art von Anfrage ist in der Remote-Arbeitskultur der Krypto-Entwicklung üblich, was sie als Social-Engineering-Taktik besonders effektiv macht.
Die Angreifer gingen noch einen Schritt weiter, indem sie eine gefälschte Website erstellten, die der legitimen Domain des angeblichen Auftragnehmers sehr ähnelte, und ihrer Täuschung eine weitere Ebene der Authentizität hinzufügten.
Das Trojanische Pferd
Als der Entwickler die Datei herunterlud und entpackte, schien es sich um ein Standard-PDF-Dokument zu handeln. Die Datei war jedoch tatsächlich eine bösartige ausführbare Datei namens INLETDRIFT, getarnt mit einem PDF-Symbol. Nach dem Öffnen installierte sie stillschweigend eine Hintertür auf dem macOS-System und stellte eine Kommunikation mit dem Befehlsserver der Angreifer (atokyonews[.]com) her.
Die Situation verschärfte sich, als der infizierte Entwickler, der Feedback suchte, die bösartige Datei mit anderen Teammitgliedern teilte und so die Malware unwissentlich innerhalb der Organisation verbreitete.
Der ausgeklügelte Man-in-the-Middle-Angriff
Nachdem die Malware installiert war, führten die Hacker einen präzise gezielten „Bait-and-Switch“-Angriff aus. Sie fingen Transaktionsdaten ab, wenn Teammitglieder ihr Gnosis Safe Multi-Signatur-Wallet bedienten. Während die Transaktion auf der Weboberfläche normal erschien, ersetzte die Malware den Transaktionsinhalt, als er das Ledger Hardware-Wallet zur Signierung erreichte.
Aufgrund des Blind-Signing-Mechanismus, der bei Safe Multi-Sig-Transaktionen verwendet wird, konnten die Teammitglieder nicht erkennen, dass sie tatsächlich einen transferOwnership()-Funktionsaufruf signierten, der die Kontrolle über die Lending-Pools an die Angreifer übergab. Dies ermöglichte es den Hackern, Benutzergelder abzuziehen, die den Protokollverträgen autorisiert worden waren.
Die schnelle Bereinigung
Nach dem Diebstahl zeigten die Angreifer eine bemerkenswerte operative Sicherheit. Innerhalb von nur drei Minuten entfernten sie alle Spuren der Hintertür und der Browser-Erweiterungen und verwischten so effektiv ihre Spuren.
Wichtige Lehren für die Branche
-
Dateidownloads niemals vertrauen: Teams sollten sich auf Online-Dokumententools wie Google Docs oder Notion standardisieren, anstatt Dateien herunterzuladen. Zum Beispiel akzeptiert der Rekrutierungsprozess von OneKey nur Google Docs-Links und lehnt das Öffnen anderer Dateien oder Links explizit ab.
-
Frontend-Sicherheit ist entscheidend: Der Vorfall verdeutlicht, wie leicht Angreifer Transaktionsinformationen im Frontend fälschen können, wodurch Benutzer unwissentlich bösartige Transaktionen signieren.
-
Risiken des Blind Signing: Hardware-Wallets zeigen oft stark vereinfachte Transaktionszusammenfassungen an, was es schwierig macht, die wahre Natur komplexer Smart-Contract-Interaktionen zu überprüfen.
-
DeFi-Protokollsicherheit: Projekte, die große Kapitalmengen verwalten, sollten Timelock-Mechanismen und robuste Governance-Prozesse implementieren. Dies schafft eine Pufferzeit, um verdächtige Aktivitäten zu erkennen und darauf zu reagieren, bevor Gelder verschoben werden können.
Der Radiant Capital Hack dient als ernüchternde Erinnerung daran, dass selbst mit Hardware-Wallets, Transaktionssimulationstools und Best Practices der Branche ausgeklügelte Angreifer immer noch Wege finden können, die Sicherheit zu kompromittieren. Er unterstreicht die Notwendigkeit ständiger Wachsamkeit und Weiterentwicklung bei Krypto-Sicherheitsmaßnahmen.
Während die Branche reift, müssen wir aus diesen Vorfällen lernen, um robustere Sicherheitsframeworks zu entwickeln, die zunehmend ausgeklügelten Angriffsvektoren standhalten können. Die Zukunft von DeFi hängt davon ab.