O Hack da Radiant Capital: Como Hackers Norte-Coreanos Usaram um Único PDF para Roubar Centenas de Milhões
Em um dos ataques cibernéticos mais sofisticados de 2023, a Radiant Capital, um protocolo de empréstimo descentralizado cross-chain construído sobre o LayerZero, perdeu aproximadamente US$ 50 milhões para hackers. A complexidade e precisão desse ataque revelaram as capacidades avançadas dos hackers norte-coreanos patrocinados pelo Estado, ampliando os limites do que muitos acreditavam ser possível em violações de segurança cripto.
O Ataque de Engenharia Social Perfeito
Em 11 de setembro de 2023, um desenvolvedor da Radiant Capital recebeu o que parecia ser uma mensagem inocente no Telegram. O remetente se passou por um ex‑contratado, alegando ter mudado de carreira para auditoria de smart contracts e querendo feedback sobre um relatório de projeto. Esse tipo de solicitação é comum na cultura de trabalho remoto em desenvolvimento cripto, tornando‑se particularmente eficaz como tática de engenharia social.
Os atacantes foram além, criando um site falso que imitava de forma quase idêntica o domínio legítimo do suposto contratado, adicionando mais uma camada de autenticidade à sua enganação.
O Cavalo de Troia
Quando o desenvolvedor baixou e descompactou o arquivo, este parecia ser um documento PDF padrão. No entanto, o arquivo era na verdade um executável malicioso chamado INLETDRIFT disfarçado com um ícone de PDF. Ao ser aberto, instalou silenciosamente uma backdoor no sistema macOS e estabeleceu comunicação com o servidor de comando dos atacantes (atokyonews[.]com).
A situação piorou quando o desenvolvedor infectado, buscando feedback, compartilhou o arquivo malicioso com outros membros da equipe, espalhando inadvertidamente o malware dentro da organização.
O Sofisticado Ataque Man-in-the-Middle
Com o malware instalado, os hackers executaram um ataque de “iscas e troca” precisamente direcionado. Eles interceptaram os dados da transação quando os membros da equipe operavam sua carteira multiassinatura Gnosis Safe. Enquanto a transação parecia normal na interface web, o malware substituiu o conteúdo da transação ao chegar à carteira de hardware Ledger para assinatura.
Devido ao mecanismo de assinatura cega usado nas transações multi‑sig do Safe, os membros da equipe não conseguiram detectar que estavam, na verdade, assinando uma chamada de função transferOwnership(), que transferia o controle dos pools de empréstimo para os atacantes. Isso permitiu que os hackers drenassem fundos de usuários que haviam sido autorizados nos contratos do protocolo.
A Limpeza Rápida
Após o roubo, os atacantes demonstraram uma segurança operacional notável. Em apenas três minutos, removeram todos os vestígios da backdoor e das extensões do navegador, cobrindo efetivamente seus rastros.
Lições Principais para a Indústria
-
Nunca Confie em Downloads de Arquivos: As equipes devem padronizar o uso de ferramentas de documentos online como Google Docs ou Notion em vez de baixar arquivos. Por exemplo, o processo de recrutamento da OneKey aceita apenas links do Google Docs, recusando explicitamente abrir quaisquer outros arquivos ou links.
-
Segurança do Frontend é Crítica: O incidente destaca o quão facilmente os atacantes podem falsificar informações de transação no frontend, fazendo com que os usuários assinem transações maliciosas sem saber.
-
Riscos da Assinatura Cega: Carteiras de hardware frequentemente exibem resumos de transação simplificados demais, dificultando a verificação da verdadeira natureza de interações complexas de contratos inteligentes.
-
Segurança de Protocolos DeFi: Projetos que lidam com grandes quantias de capital devem implementar mecanismos de timelock e processos de governança robustos. Isso cria um período de buffer para detectar e responder a atividades suspeitas antes que os fundos possam ser movimentados.
O hack da Radiant Capital serve como um lembrete sóbrio de que, mesmo com carteiras de hardware, ferramentas de simulação de transação e as melhores práticas da indústria, atacantes sofisticados ainda podem encontrar maneiras de comprometer a segurança. Isso enfatiza a necessidade de vigilância constante e evolução nas medidas de segurança cripto.
À medida que a indústria amadurece, devemos aprender com esses incidentes para construir estruturas de segurança mais robustas que possam resistir a vetores de ataque cada vez mais sofisticados. O futuro do DeFi depende disso.