Radiant Capital sagt jetzt, dass nordkoreanische Bedrohungsträger hinter dem $50 Millionen Kryptowährungsraub stecken, der stattfand, nachdem Hacker am 16. Oktober in seine Systeme eingedrungen waren.

Die Zuordnung erfolgt nach der Untersuchung des Vorfalls, unterstützt von Cybersicherheitsexperten von Mandiant, die sagen, dass der Angriff von nordkoreanischen staatlich-affiliierten Hackern durchgeführt wurde, die als Citrine Sleet, auch bekannt als "UNC4736" und "AppleJeus", bezeichnet werden.

Die USA hatten zuvor gewarnt, dass nordkoreanische Bedrohungsträger Kryptowährungsfirmen, Börsen und Gaming-Unternehmen ins Visier nehmen, um Mittel zu generieren und zu waschen, um die Operationen des Landes zu unterstützen.

Vorfall im Oktober

Radiant ist eine dezentrale Finanzplattform (DeFi), die es Nutzern ermöglicht, Kryptowährungen über mehrere Blockchain-Netzwerke einzuzahlen, zu leihen und zu verwalten.

Die Plattform nutzt die Sicherheit der Ethereum-Blockchain durch das Arbitrum Layer 2 Skalierungssystem und operiert unter einem gemeinschaftsorientierten System, das es den Nutzern ermöglicht, an der governance durch RDNT-Locker teilzunehmen, Vorschläge einzureichen und über aktive Initiativen abzustimmen.

Am 16. Oktober 2024 gab Radiant bekannt, dass es einen Verstoß in Höhe von 50 Millionen Dollar erlitten hat, verursacht durch 'sophisticated malware', die drei vertrauenswürdige Entwickler ins Visier nahm, deren Geräte kompromittiert wurden, um die unautorisierten Transaktionen auszuführen.

Die Hacker schienen den routinemäßigen Multi-Signatur-Prozess ausgenutzt zu haben, um gültige Unterschriften unter dem Vorwand von Transaktionsfehlern zu sammeln und Mittel von Arbitrum und Binance Smart Chain (BSC) Märkten zu stehlen.

Der Angriff umging die Sicherheitsmaßnahmen von Hardware-Wallets und mehrere Verifizierungsschichten, und Transaktionen schienen während manueller und Simulationsprüfungen normal zu sein, was auf eine hohe Sophistizierung hinweist.

Finger auf Nordkorea gezeigt

Nach einer internen Untersuchung des Angriffs, unterstützt von Mandiant, konnte Radiant nun mehr Informationen über die verwendete Malware und die Täter dahinter teilen.

Der Angriff begann am 11. September 2024, als ein Radiant-Entwickler eine Telegram-Nachricht erhielt, die einen ehemaligen Auftragnehmer fälschte und sie dazu brachte, eine bösartige ZIP-Datei herunterzuladen.

Das Archiv enthielt eine PDF-Datei, die als Lockvogel genutzt werden sollte, und eine macOS-Malware-Nutzlast namens 'InletDrift', die ein Hintertür auf dem infizierten Gerät einrichtete.

Radiant sagt, der Angriff sei so gut gestaltet und makellos ausgeführt worden, dass er alle vorhandenen Sicherheitsmaßnahmen umgangen habe.

"Diese Täuschung wurde so nahtlos durchgeführt, dass selbst mit den Standardbest Practices von Radiant, wie der Simulation von Transaktionen in Tenderly, der Verifizierung von Payload-Daten und der Befolgung von branchenüblichen SOPs in jedem Schritt, die Angreifer in der Lage waren, mehrere Entwicklergeräte zu kompromittieren," erklärte Radiant.

"Die Frontend-Schnittstellen zeigten harmlose Transaktionsdaten, während bösartige Transaktionen im Hintergrund signiert wurden. Traditionelle Prüfungen und Simulationen zeigten keine offensichtlichen Abweichungen, wodurch die Bedrohung während der normalen Überprüfungsphasen praktisch unsichtbar war."

Mandiant schätzte mit hoher Zuversicht, dass der Angriff von UNC4736 durchgeführt wurde, derselben Bedrohungsgruppe, die früher in diesem Jahr für die Ausnutzung einer Zero-Day-Sicherheitslücke in Google Chrome enthüllt wurde.

Angesichts des erfolgreichen Umgehens seiner Sicherheitsmaßnahmen unterstreicht Radiant die Notwendigkeit robusterer, gerätebasierter Lösungen zur Verbesserung der Transaktionssicherheit.

Was die gestohlenen Mittel betrifft, sagt die Plattform, dass sie mit den US-Strafverfolgungsbehörden und zeroShadow zusammenarbeitet, um mögliche Beträge zurückzuerlangen.

#BURNGMT #BinanceMEOpening $BTC