在2024年10月16日,建立在LayerZero上的去中心化跨鏈借貸協議Radiant Capital遭遇了一次高度複雜的網路攻擊,導致了高達5000萬美元的損失。
該攻擊事件隨後被歸咎於朝鮮駭客,標誌著針對去中心化金融(DeFi)的網路犯罪浪潮中又一令人擔憂的篇章。
報告將該事件與朝鮮行為者聯絡起來
來自Coinbase支援的加密硬體錢包製造商OneKey的一份報告將該攻擊歸咎於朝鮮駭客。該報告源自Radiant Capital最近釋出的一篇Medium文章,該文章就10月16日的攻擊事件提供了更新。
據報道,領先的網路安全公司Mandiant進一步將此次入侵歸咎於UNC4736,這是一個與朝鮮民主主義人民共和國(DPRK)有關的組織,也被稱為AppleJeus或Citrine Sleet。該組織隸屬於朝鮮的主要情報機構-總參謀部。
Mandiant的調查發現,攻擊者精心策劃了這次行動。他們在包括Arbitrum、幣安智慧鏈、Base和以太坊在內的多個區塊鏈網路上部署了惡意智慧合約。這反映了DPRK支援的威脅行為者在針對DeFi領域方面的先進能力。
這次入侵始於2024年9月11日精心策劃的網路釣魚攻擊。一名Radiant Capital開發人員收到了一條來自自稱是可信承包商的個人的Telegram訊息,訊息中包含了一個名為"Penpie_Hacking_Analysis_Report.zip"的zip檔案,聲稱是一份智慧合約審計報告。這個檔案被植入了名為INLETDRIFT的惡意軟體,這是一種macOS後門,可以讓攻擊者非法訪問Radiant的系統。
當開發人員開啟該檔案時,它似乎包含了一個合法的PDF檔案。然而,惡意軟體悄悄地安裝了自己,並與惡意域名atokyonews[.]com建立了後門連線。這使得攻擊者能夠在Radiant的團隊成員中進一步傳播惡意軟體,深入訪問敏感系統。
駭客的策略最終導致了一次中間人(MITM)攻擊。透過利用被入侵的裝置,他們截獲並操縱了Radiant的Gnosis Safe多重簽名錢包中的交易請求。儘管這些交易對開發人員來說看起來是合法的,但惡意軟體卻悄悄地將它們改為執行轉讓所有權的呼叫,從而控制了Radiant的借貸池合約。
搶劫的執行、行業影響和經驗教訓
儘管Radiant遵循了最佳實踐,如使用硬體錢包、交易模擬和驗證工具,但攻擊者的方法仍然繞過了所有防禦。在獲得所有權後的幾分鐘內,駭客就從Radiant的借貸池中抽乾了資金,使該平臺及其使用者遭受重創。
Radiant Capital的駭客事件為DeFi行業敲響了警鐘。即使是遵循嚴格安全標準的專案也可能成為複雜威脅行為者的目標。該事件突出了一些關鍵漏洞,包括:
- 網路釣魚風險:該攻擊始於一個令人信服的模仿計劃,突顯了對未經請求的檔案共享保持高度警惕的必要性。
- 盲目簽名:儘管硬體錢包是必需的,但它們通常只顯示基本的交易細節,這使得使用者很難檢測到惡意修改。需要改進硬體級別的解決方案來解碼和驗證交易有效載荷。
- 前端安全:依賴前端介面進行交易驗證證明是不充分的。偽造的介面使駭客能夠無法檢測地操縱交易資料。
- 治理弱點:缺乏撤銷所有權轉讓的機制使Radiant的合約易受攻擊。實施時間鎖或要求延遲資金轉賬可以在未來事件中提供關鍵的反應時間。
為應對此次入侵,Radiant Capital已經與包括Mandiant、zeroShadow和Hypernative在內的領先網路安全公司合作。這些公司協助調查並追回被盜資產。Radiant DAO也正在與美國執法部門合作,追蹤和凍結被盜資金。
在Medium文章中,Radiant還重申了分享經驗教訓、提升DeFi行業安全性的承諾。該DAO強調了採用強大治理框架、加強裝置級安全性以及遠離盲目簽名等風險做法的重要性。
"看起來事情本可以在第一步就停下來,"一位X使用者評論道。
Radiant Capital事件與最近的一份報告相吻合,該報告指出朝鮮駭客正在不斷轉變策略。隨著網路罪犯變得越來越複雜,行業必須透過優先考慮透明度、採取強有力的安全措施以及開展協作努力來應對此類攻擊。