一、事件概述
Dne 16. října 2024 byla decentralizovaná mezik Chain půjčovací protokol Radiant Capital založený na LayerZero napaden hackery, přičemž byly ukradeny prostředky autorizovaných projektových smluv, což vedlo k ztrátě přibližně 50 milionů dolarů. Po vyšetřování několika bezpečnostními společnostmi, včetně Mandiant, najatými oficiálně projektem, je zpráva vysoce přesvědčena, že tento útok má spojitost se Severní Koreou.

二、攻击流程
1. 伪装:Dne 11. září obdržel vývojář Radiant Capital Telegram zprávu, která se vydávala za "Contractor" (externí pracovník), a uvedl, že pracuje na nové auditu inteligentních smluv a žádal o pomoc při prohlížení projektové zprávy. Přiložil také komprimovaný soubor a použil velmi podobnou falešnou webovou stránku jako osobní domovskou stránku, což způsobilo, že vývojář podvod neodhalil.
2. 下毒:Po rozbalení souboru se na první pohled normální PDF soubor ve skutečnosti ukázal jako spustitelný malware s názvem INLETDRIFT (.app), který po spuštění tiše nainstaloval zadní vrátka v systému macOS a neustále komunikoval se severem severokorejských hackerů ("atokyonews[.]com"). Tento soubor byl také šířen mezi dalšími osobami, čímž se rozšířil dosah malwaru.
3. 精准攻击:Po implantaci trojského koně hacker zachytil obchodní data týmu při operaci Gnosis Safe (@safe) multi-sign peněženky, přičemž se na přední straně zobrazovaly normálně, ale při přenosu do hardwarové peněženky pro žádost o podepsání byla obsah žádosti o transakci nahrazena, využívajíc mechanismus slepé podpisové transakce, což vedlo k tomu, že členové týmu podepsali transferOwnership() bez vědomí, čímž předali kontrolu nad půjčovacím fondem útočníkovi, a následně došlo k masivnímu převodu prostředků z autorizovaných smluv. I když Radiant Capital zavedl řadu bezpečnostních opatření, včetně hardwarových peněženek, simulačních nástrojů pro obchodování (jako Tenderly) a standardních provozních postupů, nebyli schopni odhalit anomálie kvůli tomu, že se jejich počítač dostal pod kontrolu hackerů.
4. 撤退:Tři minuty po úspěšném krádeži hacker rychle odstranil zadní vrátka systému a rozšíření prohlížeče, čímž vyčistil stopy po odhalení identity.

三、事件启示
1. 文件下载防范:Během běžné spolupráce by mělo být vyloučeno stahování a otevírání souborů z neznámých zdrojů, zejména komprimovaných balíčků a spustitelných souborů. Měly by být preferovány online dokumentové nástroje (jako Google Docs, Notion atd.) pro prohlížení a editaci v prohlížeči, aby se snížilo riziko šíření malwaru. Současně by členové s citlivými oprávněními měli zvýšit bezpečnost svých zařízení, nainstalovat antivirové programy a posílit normy správy souborů týmu, aby se vyhnuli útokům sociálního inženýrství.
2. 前端安全问题:V současné době většina obchodních ověření závisí na front-endových rozhraních, což je snadno napadnutelné hackery, kteří mohou falšovat obchodní informace, a také se často vyskytují útoky na dodavatelský řetězec front-endových závislostí, jako je "útok na oficiální knihovnu Solana web3.js".
3. 盲签机制隐患:Mnoho hardwarových peněženek zobrazuje pouze jednoduché shrnutí transakce, což ztěžuje identifikaci integrity dat transakce a uživatelé tak obtížně rozpoznávají škodlivý obsah. Například OneKey v oblasti slepého podpisu Permit dosáhl pokroku, ale důležité podpisy, jako jsou ty v Safe multi-sign, stále potřebují další zlepšení.
4. DeFi 资产风控加强:Projekty, které ovládají velké finanční prostředky, by měly nastavit časové zámky (Timelock) a zdokonalit procesy správy pro související protokoly, například pomocí odloženého mechanismu T+1, aby se velké převody prostředků uskutečnily až po určitém časovém období, což poskytne bezpečnostním agenturám a etickým hackerům čas na detekci anomálií, spuštění alarmu a přijetí opatření. Uživatelé mohou také během odkladu zrušit své autorizace, čímž zvýší bezpečnost svých aktiv. Kromě toho projekt Radiant kvůli absenci funkce Revoke pro oprávnění k upgradu smlouvy byl hackery využit k provedení krádeže změnou kódu v upgradované smlouvě, což zdůrazňuje nedostatky ve návrhu smlouvy ze strany projektového týmu.

#加密市场盘整