Radiant Capital hat neue Erkenntnisse über den $50 Millionen Hack, der im Oktober seine dezentrale Finanzierungsplattform (DeFi) ins Visier nahm, bekannt gegeben und die Attacke einer mit Nordkorea verbundenen Hackergruppe zugeschrieben.

Die Angreifer erlangten Zugang durch ein ausgeklügeltes Schema, das Malware beinhaltete, die über Telegram verbreitet wurde.

$50M Radiant Capital DeFi Hack

Die Sicherheitsverletzung, die erstmals am 16. Oktober 2024 entdeckt wurde, veranlasste Radiant, mit Cybersecurity-Firmen wie Mandiant, zeroShadow, Hypernative und SEAL 911 zusammenzuarbeiten, um den Schaden zu untersuchen und zu mindern.

Laut dem offiziellen Blogbeitrag wurde der Angriff auf den 11. September 2024 zurückverfolgt, als ein Radiant-Entwickler eine Telegram-Nachricht von jemandem erhielt, der sich als ehemaliger Auftragnehmer ausgab. Die Nachricht, die so gestaltet war, dass sie harmlos erschien, bat um Feedback zu einer angeblich karrierebezogenen PDF-Datei, die mit der Prüfung von Smart Contracts verbunden war.

Der Absender gab überzeugend eine legitime Website vor, um den Verdacht zu verringern. Sobald die Datei mit dem Titel Penpie_Hacking_Analysis_Report.zip geöffnet wurde, wurde eine macOS-Hintertür-Malware namens INLETDRIFT ausgeliefert. Die Malware kommunizierte mit einem externen Server und erschien harmlos, indem sie ein realistisches PDF anzeigte.

Trotz Radiants Einhaltung strenger Sicherheitsprotokolle, einschließlich Transaktionssimulationen und Payload-Überprüfungen, konnte die Malware durch Manipulation der Front-End-Transaktionsdaten unentdeckt bleiben. Entwickler genehmigten unwissentlich bösartige Transaktionen, da sie glaubten, sie seien legitim. Die Planung der Angreifer machte den Eindringling während routinemäßiger Kontrollen nahezu unentdeckbar.

zeroShadow, ein Anbieter von Sicherheitslösungen für Web3, hat auch die Einschätzung von Radiant Capital bestätigt, dass der Hack das Werk von mit Nordkorea verbundenen Akteuren war. In einer Erklärung am 9. Dezember sagte die Plattform,

„Wir schreiben den Vorfall bei Radiant Capital am 16. Oktober mit hoher Zuversicht der DPRK zu, basierend auf mehreren Indikatoren, die wir on- und off-chain gesammelt haben. Wir haben die Bewegungen zu Hyperliquid verfolgt, die von Radiant-Nutzern stammen, die versäumt haben, Berechtigungen zu widerrufen, und nicht von den gestohlenen Mitteln des ursprünglichen Vorfalls.“

Radiants TVL ist in diesem Jahr um über 97% gesunken

Radiant Capital ist ein dezentrales Kreditvergabe- und -aufnahmeprotokoll, das durch die Verwendung von LayerZero-Technologie cross-chain-Funktionen integriert. Die neuesten Zahlen von DefiLlama platzieren seinen Gesamtwert (TVL) bei etwas über $6 Millionen.

Der Hack am 16. Oktober ist nicht das erste Mal, dass Radiant in diesem Jahr kompromittiert wurde. Bereits im Januar wurde eine Schwachstelle im Smart Contract ausgenutzt, die der Plattform $4,5 Millionen kostete, während ihr TVL erheblich höher war und über $300 Millionen lag, was einen erheblichen Rückgang der gesperrten Vermögenswerte im Laufe des Jahres trotz des Bullenmarktes verdeutlicht.

Der Beitrag Web3-Sicherheitsfirmen bestätigen die Rolle Nordkoreas im Radiant Capital Hack erschien zuerst auf CryptoPotato.