Radiant Capital nyní říká, že severokorejští hrozební aktéři stojí za krádeží kryptoměn v hodnotě 50 milionů dolarů, která nastala poté, co hackeři pronikli do jeho systémů během kybernetického útoku 16. října.
Přiřazení pochází po vyšetřování incidentu, kterého se zúčastnili odborníci na kybernetickou bezpečnost z Mandiant, kteří tvrdí, že útok provedli severokorejští hackeři spříznění se státem známí jako Citrine Sleet, také "UNC4736" a "AppleJeus."
USA dříve varovaly, že severokorejští hrozební aktéři cílí na firmy s kryptoměnami, burzy a herní společnosti, aby generovali a praní peněz na podporu operací země.
Říjnový incident
Radiant je decentralizovaná finanční (DeFi) platforma, která umožňuje uživatelům vkládat, půjčovat si a spravovat kryptoměny napříč různými blockchainovými sítěmi.
Platforma využívá bezpečnost Ethereum blockchainu prostřednictvím systému Arbitrum Layer 2 a funguje na základě komunitně řízeného systému, který umožňuje uživatelům účastnit se správy prostřednictvím RDNT zámků, podávat návrhy a hlasovat o aktivních iniciativách.
Dne 16. října 2024 Radiant oznámil, že utrpěl porušení v hodnotě 50 milionů dolarů způsobené 'sofistikovaným malwarem', který cílil na tři důvěryhodné vývojáře, jejichž zařízení byla kompromitována k provedení neoprávněných transakcí.
Hackeři se zdálo, že zneužili rutinní proces multi-podpisu, shromáždili platné podpisy pod záminkou chyb transakcí a ukradli prostředky z trhů Arbitrum a Binance Smart Chain (BSC).
Útok obešel bezpečnost hardwarové peněženky a více ověřovacích vrstev, a transakce se během manuálních a simulačních kontrol jevily jako normální, což naznačuje vysokou sofistikovanost.
Ukazováno na Severní Koreu
Po interním vyšetřování útoku, které pomohlo Mandiant, může Radiant nyní sdílet více informací o použitém malwaru a pachatelích za tímto útokem.
Útok začal 11. září 2024, kdy vývojář Radiant obdržel zprávu na Telegramu, která se vydávala za bývalého dodavatele, čímž je podvedli, aby si stáhli zlovolný ZIP soubor.
Archiv obsahoval PDF soubor, který měl být použit jako návnada, a malware pro macOS s názvem 'InletDrift', který vytvořil zadní vrátka na infikovaném zařízení.
Radiant říká, že útok byl tak dobře navržen a bezchybně proveden, že obešel všechna bezpečnostní opatření.
"Tato lest byla provedena tak bezproblémově, že i při standardních nejlepších praktikách Radiant, jako je simulace transakcí v Tenderly, ověřování dat o přenosu a dodržování standardních postupů v průmyslu v každém kroku, byli útočníci schopni kompromitovat více zařízení vývojářů," vysvětlil Radiant.
"Frontendové rozhraní zobrazovalo benigní transakční data, zatímco zlovolné transakce byly podepisovány na pozadí. Tradiční kontroly a simulace neukázaly žádné zjevné nesrovnalosti, což činilo hrozbu prakticky neviditelnou během normálních kontrolních fází."
Mandiant s vysokou jistotou posoudil, že útok provedl UNC4736, stejná hrozební skupina, která byla exposována za zneužívání zranitelnosti nultého dne na Google Chrome dříve v tomto roce.
Vzhledem k úspěšnému obcházení svých bezpečnostních opatření Radiant zdůrazňuje potřebu robustnějších řešení na úrovni zařízení pro zvýšení bezpečnosti transakcí.
Pokud jde o odcizené prostředky, platforma říká, že spolupracuje s americkými orgány činnými v trestním řízení a zeroShadow na obnově jakýchkoli možných částek.
#BURNGMT #BinanceMEOpening $BTC
