Radiant Capital 黑客攻击:朝鲜黑客如何利用单个 PDF 窃取数亿美元
在 2023 年最为复杂的网络攻击之一中,基于 LayerZero 的去中心化跨链借贷协议 Radiant Capital 因黑客攻击损失约 5000 万美元。此次攻击的复杂性和精准度揭示了国家支持的朝鲜黑客的高级能力,突破了人们对加密安全漏洞的想象边界。
完美的社会工程攻击
2023 年 9 月 11 日,Radiant Capital 的一名开发者收到一条看似无害的 Telegram 消息。发送者冒充前承包商,自称已转行做智能合约审计,并希望获得项目报告的反馈。这类请求在加密开发的远程工作文化中屡见不鲜,因而成为极具欺骗性的社会工程手段。
攻击者进一步制作了一个高度仿真的假网站,模仿所谓承包商的合法域名,为其欺骗行为增添了可信度。
特洛伊木马
当开发者下载并解压文件时,文件看起来是普通的 PDF 文档。然而,实际文件是一个名为 INLETDRIFT 的恶意可执行文件,伪装成 PDF 图标。打开后,它在 macOS 系统上悄悄安装后门,并与攻击者的指挥服务器 (atokyonews[.]com) 建立通信。
情况进一步恶化:受感染的开发者在寻求反馈时,将恶意文件分享给其他团队成员,无意中在组织内部传播了恶意软件。
高级的中间人攻击
后门植入后,黑客发起了精准的 “诱饵‑换位” 攻击。他们拦截了团队成员使用 Gnosis Safe 多签钱包时的交易数据。虽然交易在网页界面上显示正常,但当交易数据传递到 Ledger 硬件钱包进行签名时,恶意软件已将交易内容替换。
由于 Safe 多签交易采用盲签机制,团队成员无法察觉自己实际上在签署 transferOwnership() 函数调用,这将借贷池的控制权交给了攻击者。于是黑客成功提取了已授权给协议合约的用户资金。
快速清除痕迹
盗窃发生后,攻击者展现出卓越的作战安全性。仅在三分钟内,他们便删除了所有后门和浏览器扩展,彻底抹去痕迹。
行业关键教训
- 永不轻信文件下载:团队应统一使用在线文档工具(如 Google Docs、Notion),避免下载文件。例如,OneKey 的招聘流程只接受 Google Docs 链接,明确拒绝打开其他文件或链接。
- 前端安全至关重要:本次事件凸显攻击者如何轻易在前端伪造交易信息,使用户在不知情的情况下签署恶意交易。
- 盲签风险:硬件钱包往往只展示简化的交易摘要,导致用户难以验证复杂智能合约交互的真实意图。
- DeFi 协议安全:处理大额资本的项目应实现时间锁机制和完善的治理流程,为发现并响应可疑活动提供缓冲期,防止资金被快速转移。
Radiant Capital 的被��攻击事件提醒我们,即使使用硬件钱包、交易模拟工具以及行业最佳实践,仍然可能被高度成熟的攻击者突破安全防线。它强调了在加密安全领域保持持续警惕和不断演进的必要性。
随着行业的成熟,我们必须从这些案例中汲取经验,构建更为坚固的安全框架,以抵御日益复杂的攻击向量。DeFi 的未来取决于此。