Le protocole DeFi Radiant Capital a attribué un <a href="https://www.coindesk.com/tech/2024/10/16/radiant-capital-loses-50m-to-blockchain-exploit" target="_blank">exploit de 50 millions de dollars</a> qu'il a subi en octobre à des hackers nord-coréens.
Selon un <a href="https://medium.com/@RadiantCapital/radiant-capital-incident-update-e56d8c23829e" target="_blank">rapport publié le 6 décembre</a>, les attaquants ont commencé à poser les bases de l'attaque du 16 octobre à la mi-septembre, lorsqu'un message Telegram d'un ancien sous-traitant apparemment de confiance a été envoyé à un développeur de Radiant Capital.
Le message disait que le sous-traitant poursuivait une nouvelle opportunité de carrière liée à l'audit de contrats intelligents et recherchait des retours. Il incluait un lien vers un fichier PDF compressé, que le développeur a ouvert et partagé avec d'autres collègues.
Le message est maintenant considéré comme venant d'un "acteur de menace aligné avec la RPDC" qui a usurpé l'identité du sous-traitant, selon le rapport. Le fichier contenait un morceau de malware appelé INLETDRIFT qui a établi une porte dérobée macOS persistante tout en affichant un PDF ayant l'air légitime à l'utilisateur.
Radiant Capital a déclaré que des contrôles traditionnels et des simulations n'avaient montré aucune anomalie évidente, rendant la menace pratiquement invisible lors des étapes de révision normales.
Grâce à l'accès aux ordinateurs, les hackers ont pu prendre le contrôle de plusieurs clés privées.
Le lien nord-coréen a été identifié par la société de cybersécurité Mandiant, bien que l'enquête soit encore incomplète. Mandiant a déclaré croire que l'attaque a été orchestrée par UNC4736, un groupe aligné avec le Bureau général de reconnaissance du pays. Il est également connu sous le nom d'AppleJeus ou Citrine Sleet.
Le groupe a été impliqué dans plusieurs autres attaques liées aux entreprises de cryptomonnaie. Il a précédemment utilisé de faux sites d'échange de crypto pour tromper les gens en leur faisant télécharger des logiciels malveillants via des liens vers des offres d'emploi et de faux portefeuilles.
L'incident a suivi un piratage antérieur sans rapport contre Radiant Capital en janvier, au cours duquel il a perdu 4,5 millions de dollars.
