Взлом Radiant Capital: Как северокорейские хакеры использовали один PDF-файл для кражи сотен миллионов
В одной из самых изощренных кибератак 2023 года Radiant Capital, децентрализованный кроссчейн-протокол кредитования, построенный на LayerZero, потерял около $50 миллионов из-за хакеров. Сложность и точность этой атаки выявили продвинутые возможности спонсируемых государством северокорейских хакеров, расширив границы того, что многие считали возможным в сфере нарушений криптобезопасности.
Идеальная атака социальной инженерии
11 сентября 2023 года разработчик Radiant Capital получил, казалось бы, невинное сообщение в Telegram. Отправитель выдавал себя за бывшего подрядчика, утверждая, что он сменил сферу деятельности на аудит смарт-контрактов и хотел получить отзыв о проектном отчете. Такой тип запросов является обычным явлением в культуре удаленной работы в крипторазработке, что делает его особенно эффективным в качестве тактики социальной инженерии. Злоумышленники приложили дополнительные усилия, создав поддельный веб-сайт, который точно имитировал легитимный домен предполагаемого подрядчика, добавив еще один уровень подлинности к своему обману.
Троянский конь
Когда разработчик загрузил и распаковал файл, он выглядел как стандартный PDF-документ. Однако на самом деле файл представлял собой вредоносный исполняемый файл под названием INLETDRIFT, замаскированный под иконку PDF. После открытия он незаметно установил бэкдор в систему macOS и установил связь с командным сер�вером злоумышленников (atokyonews[.]com). Ситуация усугубилась, когда зараженный разработчик, ища обратную связь, поделился вредоносным файлом с другими членами команды, непреднамеренно распространив вредоносное ПО внутри организации.
Изощренная атака типа «человек посередине»
После установки вредоносного ПО хакеры осуществили точно нацеленную атаку типа «приманка и подмена». Они перехватывали данные транзакций, когда члены команды работали со своим мультисиг-кошельком Gnosis Safe. Хотя транзакция выглядела нормально в веб-интерфейсе, вредоносное ПО подменяло содержимое транзакции, когда она достигала аппаратного кошелька Ledger для подписи. Из-за механизма слепой подписи, используемого в мультисиг-транзакциях Safe, члены команды не могли обнаружить, что они фактически подписывали вызов функции transferOwnership(), которая передавала контроль над пулами кредитования злоумышленникам. Это позволило хакерам вывести средства пользователей, которые были авторизованы для контрактов протокола.
Быстрая зачистка
После кражи злоумышленники продемонстрировали выдающуюся операционную безопасность. Всего за три минуты они удалили все следы бэкдора и расширений браузера, эффективно заметая следы.
Ключевые уроки для индустрии
-
Никогда не доверяйте загрузке файлов: Команды должны стандартизировать использование онлайн-инструментов для документов, таких как Google Docs или Notion, вместо загрузки файлов. Например, процесс найма OneKey принимает только ссылки на Google Docs, категорически отказываясь открывать любые другие файлы или ссылки.
-
Безопасность фронтенда критически важна: Инцидент подчеркивает, насколько легко злоумышленники могут подделать информацию о транзакциях на фронтенде, заставляя пользователей неосознанно подписывать вредоносные транзакции.
-
Риски слепой подписи: Аппаратные кошельки часто отображают чрезмерно упрощенные сводки транзакций, что затрудняет проверку истинной природы сложных взаимодействий со смарт-контрактами.
-
Безопасность протоколов DeFi: Проекты, работающие с большими объемами капитала, должны внедрять механизмы временной блокировки (timelock) и надежные процессы управления. Это создает буферный период для обнаружения подозрительных действий и реагирования на них до того, как средства могут быть перемещены.
Взлом Radiant Capital служит отрезвляющим напоминанием о том, что даже при наличии аппаратных кошельков, инструментов симуляции транзакций и лучших отраслевых практик изощренные злоумышленники все еще могут найти способы скомпрометировать безопасность. Это подчеркивает необходимость постоянной бдительности и развития мер криптобезопасности. По мере созревания индустрии мы должны извлекать уроки из этих инцидентов, чтобы создавать более надежные системы безопасности, способные противостоять все более изощренным векторам атак. Будущее DeFi зависит от этого.