在2024年10月16日,建立在LayerZero上的去中心化跨链借贷协议Radiant Capital遭遇了一次高度复杂的网络攻击,导致了高达5000万美元的损失。
该攻击事件随后被归咎于朝鲜黑客,标志着针对去中心化金融(DeFi)的网络犯罪浪潮中又一令人担忧的篇章。
报告将该事件与朝鲜行为者联系起来
来自Coinbase支持的加密硬件钱包制造商OneKey的一份报告将该攻击归咎于朝鲜黑客。该报告源自Radiant Capital最近发布的一篇Medium文章,该文章就10月16日的攻击事件提供了更新。
据报道,领先的网络安全公司Mandiant进一步将此次入侵归咎于UNC4736,这是一个与朝鲜民主主义人民共和国(DPRK)有关的组织,也被称为AppleJeus或Citrine Sleet。该组织隶属于朝鲜的主要情报机构-总参谋部。
Mandiant的调查发现,攻击者精心策划了这次行动。他们在包括Arbitrum、币安智能链、Base和以太坊在内的多个区块链网络上部署了恶意智能合约。这反映了DPRK支持的威胁行为者在针对DeFi领域方面的先进能力。
这次入侵始于2024年9月11日精心策划的网络钓鱼攻击。一名Radiant Capital开发人员收到了一条来自自称是可信承包商的个人的Telegram消息,消息中包含了一个名为"Penpie_Hacking_Analysis_Report.zip"的zip文件,声称是一份智能合约审计报告。这个文件被植入了名为INLETDRIFT的恶意软件,这是一种macOS后门,可以让攻击者非法访问Radiant的系统。
当开发人员打开该文件时,它似乎包含了一个合法的PDF文件。然而,恶意软件悄悄地安装了自己,并与恶意域名atokyonews[.]com建立了后门连接。这使得攻击者能够在Radiant的团队成员中进一步传播恶意软件,深入访问敏感系统。
黑客的策略最终导致了一次中间人(MITM)攻击。通过利用被入侵的设备,他们截获并操纵了Radiant的Gnosis Safe多重签名钱包中的交易请求。尽管这些交易对开发人员来说看起来是合法的,但恶意软件却悄悄地将它们改为执行转让所有权的调用,从而控制了Radiant的借贷池合约。
抢劫的执行、行业影响和经验教训
尽管Radiant遵循了最佳实践,如使用硬件钱包、交易模拟和验证工具,但攻击者的方法仍然绕过了所有防御。在获得所有权后的几分钟内,黑客就从Radiant的借贷池中抽干了资金,使该平台及其用户遭受重创。
Radiant Capital的黑客事件为DeFi行业敲响了警钟。即使是遵循严格安全标准的项目也可能成为复杂威胁行为者的目标。该事件突出了一些关键漏洞,包括:
- 网络钓鱼风险:该攻击始于一个令人信服的模仿计划,突显了对未经请求的文件共享保持高度警惕的必要性。
- 盲目签名:尽管硬件钱包是必需的,但它们通常只显示基本的交易细节,这使得用户很难检测到恶意修改。需要改进硬件级别的解决方案来解码和验证交易有效载荷。
- 前端安全:依赖前端界面进行交易验证证明是不充分的。伪造的界面使黑客能够无法检测地操纵交易数据。
- 治理弱点:缺乏撤销所有权转让的机制使Radiant的合约易受攻击。实施时间锁或要求延迟资金转账可以在未来事件中提供关键的反应时间。
为应对此次入侵,Radiant Capital已经与包括Mandiant、zeroShadow和Hypernative在内的领先网络安全公司合作。这些公司协助调查并追回被盗资产。Radiant DAO也正在与美国执法部门合作,追踪和冻结被盗资金。
在Medium文章中,Radiant还重申了分享经验教训、提升DeFi行业安全性的承诺。该DAO强调了采用强大治理框架、加强设备级安全性以及远离盲目签名等风险做法的重要性。
"看起来事情本可以在第一步就停下来,"一位X用户评论道。
Radiant Capital事件与最近的一份报告相吻合,该报告指出朝鲜黑客正在不断转变策略。随着网络罪犯变得越来越复杂,行业必须通过优先考虑透明度、采取强有力的安全措施以及开展协作努力来应对此类攻击。
