El hackeo de Radiant Capital: Cómo los hackers norcoreanos usaron un solo PDF para robar cientos de millones
En uno de los ciberataques más sofisticados de 2023, Radiant Capital, un protocolo descentralizado de préstamos cross‑chain construido sobre LayerZero, perdió aproximadamente 50 millones de dólares a manos de hackers. La complejidad y precisión de este ataque revelaron las capacidades avanzadas de los hackers norcoreanos patrocinados por el Estado, ampliando los límites de lo que muchos creían posible en brechas de seguridad cripto.
El ataque de ingeniería social perfecto
El 11 de septiembre de 2023, un desarrollador de Radiant Capital recibió lo que parecía ser un mensaje inocente en Telegram. El remitente se hacía pasar por un ex‑contratista, alegando que había cambiado de carrera a auditoría de contratos inteligentes y quería retroalimentación sobre un informe de proyecto. Este tipo de solicitud es habitual en la cultura de trabajo remoto del desarrollo cripto, lo que lo hace particularmente efectivo como táctica de ingeniería social.
Los atacantes fueron un paso más allá al crear un sitio web falso que imitaba de forma muy cercana al dominio legítimo del supuesto contratista, añadiendo otra capa de autenticidad a su engaño.
El caballo de Troya
Cuando el desarrollador descargó y descomprimió el archivo, este parecía ser un documento PDF estándar. Sin embargo, el archivo era en realidad un ejecutable malicioso llamado INLETDRIFT disfrazado con un ícono de PDF. Al abrirlo, instaló silenciosamente una puerta trasera en el sistema macOS y estableció comunicación con el servidor de comando de los atacantes (atokyonews[.]com).
La situación empeoró cuando el desarrollador infectado, buscando retroalimentación, compartió el archivo malicioso con otros miembros del equipo, propagando inadvertidamente el malware dentro de la organización.
El sofisticado ataque Man‑in‑the‑Middle
Con el malware instalado, los hackers ejecutaron un ataque de “cambio de cebo” precisamente dirigido. Interceptaron los datos de la transacción cuando los miembros del equipo operaban su billetera multi‑firma Gnosis Safe. Mientras la transacción aparecía normal en la interfaz web, el malware sustituyó el contenido de la transacción al llegar al hardware wallet Ledger para su firma.
Debido al mecanismo de firma ciega usado en las transacciones multi‑sig de Safe, los miembros del equipo no pudieron detectar que en realidad estaban firmando una llamada a la función transferOwnership(), que entregaba el control de los pools de préstamo a los atacantes. Esto permitió a los hackers drenar los fondos de los usuarios que habían sido autorizados a los contratos del protocolo.
La rápida limpieza
Tras el robo, los atacantes demostraron una seguridad operativa notable. En apenas tres minutos, eliminaron todo rastro de la puerta trasera y de las extensiones del navegador, cubriendo eficazmente sus huellas.
Lecciones clave para la industria
-
Nunca confiar en descargas de archivos: Los equipos deben estandarizarse en herramientas de documentos en línea como Google Docs o Notion en lugar de descargar archivos. Por ejemplo, el proceso de reclutamiento de OneKey solo acepta enlaces de Google Docs, rechazando explícitamente abrir cualquier otro archivo o enlace.
-
La seguridad del frontend es crítica: El incidente muestra lo fácil que es para los atacantes falsificar información de transacciones en el frontend, haciendo que los usuarios firmen sin saber transacciones maliciosas.
-
Riesgos de la firma ciega: Los hardware wallets a menudo muestran resúmenes de transacciones excesivamente simplificados, dificultando la verificación de la verdadera naturaleza de interacciones complejas de contratos inteligentes.
-
Seguridad de los protocolos DeFi: Los proyectos que manejan grandes cantidades de capital deben implementar mecanismos de timelock y procesos de gobernanza robustos. Esto crea un período de amortiguación para detectar y responder a actividades sospechosas antes de que los fondos puedan ser movidos.
El hackeo de Radiant Capital sirve como un recordatorio aleccionador de que, incluso con hardware wallets, herramientas de simulación de transacciones y mejores prácticas de la industria, los atacantes sofisticados aún pueden encontrar formas de comprometer la seguridad. Subraya la necesidad de vigilancia constante y evolución en las medidas de seguridad cripto.
A medida que la industria madura, debemos aprender de estos incidentes para construir marcos de seguridad más robustos que puedan resistir vectores de ataque cada vez más sofisticados. El futuro de DeFi depende de ello.