Radiant Capital ハック:北朝鮮ハッカーが単一の PDF を使用して数億ドルを盗む方法
2023 年に発生した最も高度なサイバー攻撃の一つで、LayerZero 上に構築された分散型クロスチェーンレンディングプロトコル Radiant Capital が約 $50 million をハッカーに奪われました。この攻撃の複雑さと精密さは、国家支援を受けた北朝鮮ハッカーの高度な能力を示し、暗号資産セキュリティにおける限界を押し広げました。
完璧なソーシャルエンジニアリング攻撃
2023 年 9 月 11 日、Radiant Capital の開発者が無害に見える Telegram メッセージを受信しました。送信者は元請負業者を装い、スマートコントラクト監査に転職したと主張し、プロジェクトレポートへのフィードバックを求めました。この種の依頼は暗号開発のリモートワーク文化で頻繁に見られ、ソーシャルエンジニアリング手法として特に効果的です。
攻撃者はさらに、偽のウェブサイトを作成し、正規のドメインに極めて似せた外観で信憑性を高めました。
トロイの木馬
開発者がファイルをダウンロードし解凍すると、標準的な PDF ドキュメントに見えました。しかし実際には「INLETDRIFT」という悪意ある実行ファイルが PDF アイコンで偽装されていました。開くと macOS にバックドアが静かにインストールされ、攻撃者のコマンドサーバー(atokyonews[.]com)と通信を開始しました。
感染した開発者はフィードバックを求めてこのファイルを他のチームメンバーに共有したため、マルウェアは組織内に拡散しました。
高度な中間者攻撃
マルウェアが配置された状態で、ハッカーは正確にターゲットを絞った「ベイト・アンド・スイッチ」攻撃を実行しました。チームメンバーが Gnosis Safe のマルチシグウォレットを操作している際に取引データを傍受し、ウェブインターフェース上では正常に見える取引でも、Ledger ハードウェアウォレットに到達した時点でマルウェアが取引内容を書き換えていました。
Safe のブラインドサイン機構により、メンバーは実際に transferOwnership() 関数呼び出しに署名していることに気付かず、貸出プールのコントロールがハッカーに移譲されました。これにより、プロトコルに認可されたユーザ資金がハッカーに流出しました。
迅速な痕跡除去
盗難が判明した直後、ハッカーは驚異的なオペレーショナル・セキュリティを示しました。わずか 3 分でバックドアとブラウザ拡張機能をすべて削除し、痕跡を完全に消去しました。
業界への重要な教訓
-
ファイルダウンロードは絶対に信用しない:チームは Google Docs や Notion といったオンライン文書ツールの使用を標準化し、ファイルやリンクの直接開封を禁止すべきです。例として OneKey の採用プロセスは Google Docs のリンクのみ受け付け、他のファイルやリンクは一切開かない方針です。
-
フロントエンドのセキュリティは必須:この事件は、攻撃者がフロントエンドで取引情報を簡単に偽装でき、ユーザーが悪意ある取引に気付かず署名してしまう危険性を示しています。
-
ブラインドサインのリスク:ハードウェアウォレットは取引概要を過度に簡略化して表示するため、複雑なスマートコントラクトの実体を検証しにくくなります。
-
DeFi プロトコルの安全策:大量の資金を扱うプロジェクトはタイムロック機構や堅牢なガバナンスプロセスを導入すべきです。これにより、疑わしい活動を検知・対応するためのバッファ期間が確保されます。
Radiant Capital のハックは、ハードウェアウォレットや取引シミュレーションツール、業界ベストプラクティスを導入していても、熟練した攻撃者が依然としてセキュリティを突破できることを痛感させる警鐘です。暗号資産セキュリティは常に警戒を怠らず、進化し続ける必要があります。
業界が成熟するにつれ、これらの事例から学び、ますます高度化する攻撃ベクトルに耐えうる堅牢なセキュリティフレームワークを構築していくことが求められます。DeFi の未来はそれにかかっています。