Uno, Resumen del Evento
El 16 de octubre de 2024, el protocolo de préstamo descentralizado entre cadenas basado en LayerZero, Radiant Capital, fue objeto de un ataque de hackers, robando fondos del contrato del proyecto, con pérdidas de aproximadamente 50 millones de dólares. Tras la investigación realizada por varias empresas de seguridad, incluidas Mandiant, contratadas por el proyecto oficial, el informe establece con alta certeza que el ataque está relacionado con Corea del Norte.
Dos, Proceso del Ataque
1. Suplantación: el 11 de septiembre, un desarrollador de Radiant Capital recibió un mensaje de Telegram que se hacía pasar por un 'Contratista', afirmando que estaba realizando una nueva auditoría de contratos inteligentes y solicitando ayuda para revisar el informe del proyecto. También adjuntó un archivo comprimido y utilizó un sitio web falso que era muy similar al nombre de dominio real como página personal, lo que llevó al desarrollador a no darse cuenta de la estafa.
2. Envenenamiento: después de descomprimir el archivo, el aparentemente normal archivo PDF resultó ser un malware ejecutable llamado INLETDRIFT (.app), que al ejecutarse silenciosamente instaló un backdoor en el sistema macOS y mantuvo comunicación continua con el servidor de hackers de Corea del Norte ('atokyonews[.]com'). Este archivo también fue difundido por el desarrollador a otros, ampliando el alcance del malware.
3. Ataque Preciso: tras la implantación del troyano, los hackers interceptaron los datos de transacción del equipo al operar la billetera multifirma Gnosis Safe (@safe), mostrando información normal en el frontend, pero reemplazando el contenido de la solicitud de transacción al ser transmitida al hardware Ledger para firmar, aprovechando el mecanismo de firma ciega de la billetera hardware, lo que llevó a que los miembros del equipo firmaran transferOwnership() sin darse cuenta, entregando el control del fondo de préstamos a los atacantes y permitiendo una transferencia masiva de fondos del contrato autorizado. A pesar de que Radiant Capital implementó varias medidas de seguridad, incluidas billeteras de hardware, herramientas de simulación de transacciones (como Tenderly) y procedimientos operativos estándar de la industria, no lograron detectar la anomalía debido a que el troyano controló la computadora del desarrollador.
4. Retirada: dentro de los 3 minutos posteriores al robo exitoso, los hackers eliminaron rápidamente el backdoor del sistema y la extensión del navegador, borrando cualquier rastro de su identidad.
Tres, Lecciones del Evento
1. Prevención de Descarga de Archivos: en la colaboración diaria, se debe evitar descargar y abrir archivos de fuentes desconocidas, especialmente archivos comprimidos y ejecutables, priorizando herramientas de documentos en línea (como Google Docs, Notion, etc.) para ver y editar en el navegador, con el fin de reducir el riesgo de propagación de malware. Al mismo tiempo, los miembros con permisos sensibles deben aumentar la seguridad de sus dispositivos, instalar software antivirus, y fortalecer las normas de gestión de archivos del equipo, para prevenir ataques de ingeniería social.
2. Problemas de Seguridad en el Frontend: actualmente, la mayoría de las verificaciones de transacciones dependen de la interfaz del frontend, lo que facilita a los hackers falsificar la información de transacciones, y ataques a la cadena de suministro de paquetes del frontend son comunes, como el incidente del ataque a la biblioteca web3.js oficial de Solana.
3. Riesgos del Mecanismo de Firma Ciega: muchas billeteras de hardware solo muestran un resumen simple de la transacción, lo que dificulta presentar la integridad de los datos de la transacción, haciendo que los usuarios no puedan identificar contenido malicioso. Por ejemplo, aunque OneKey ha avanzado en la firma ciega de Permisos, firmas importantes como las de múltiples firmas de Safe aún necesitan mejoras continuas.
4. Fortalecimiento del Control de Riesgos de Activos DeFi: los proyectos que manejan grandes fondos deben establecer un bloqueo de tiempo (Timelock) y mejorar los procesos de gobernanza para acuerdos relacionados con fondos, como la implementación de mecanismos de retraso T+1, de modo que las transferencias de grandes fondos se realicen después de un cierto tiempo, proporcionando a las instituciones de seguridad y hackers éticos un ventana de tiempo para detectar anomalías, activar alertas y tomar medidas, los usuarios también pueden revocar autorizaciones durante el período de retraso, aumentando la seguridad de los activos. Además, el equipo de Radiant fue explotado por hackers debido a que la función de revocación no estaba disponible en los permisos de actualización de contratos, lo que llevó a la modificación del código y al robo, resaltando las vulnerabilidades en el diseño del contrato por parte del equipo del proyecto.
Ver original
Revisión del Incidente de Robo de Radiant Capital: Análisis del Ataque de Hackers de Corea del Norte
Aviso legal: Contiene opiniones de terceros. Esto no constituye asesoramiento financiero. Es posible que incluya contenido patrocinado. Consultar Términos y condiciones.
314
0
Respuestas 0
Descubre las últimas noticias sobre criptomonedas
⚡️ Participa en los debates más recientes sobre criptomonedas
💬 Interactúa con tus creadores favoritos
👍 Disfruta del contenido que te interesa
Correo electrónico/número de teléfono