一、事件概述
Pada tanggal 16 Oktober 2024, protokol pinjaman lintas rantai terdesentralisasi Radiant Capital yang berbasis LayerZero mengalami serangan hacker, dana kontrak proyek yang diotorisasi dicuri, dengan kerugian sekitar 50 juta dolar AS. Setelah diselidiki oleh beberapa perusahaan keamanan yang dipekerjakan oleh pihak proyek, termasuk Mandiant, laporan menunjukkan keyakinan tinggi bahwa serangan ini terkait dengan Korea Utara.

二、攻击流程
1. Penyamarannya: Pada 11 September, seorang pengembang Radiant Capital menerima pesan Telegram yang menyamar sebagai 'Contractor' (pekerja lepas), yang mengklaim sedang melakukan pekerjaan audit kontrak pintar baru dan meminta bantuan untuk melihat laporan proyek. Pesan tersebut juga disertai file terkompresi, dan menggunakan situs web palsu yang sangat mirip dengan nama domain asli sebagai halaman pribadi, sehingga pengembang tersebut tidak menyadari penipuan tersebut.
2. Menyuntikkan malware: Setelah pengembang mengekstrak file, file PDF yang tampak normal sebenarnya adalah malware eksekusi bernama INLETDRIFT (.app), yang setelah dijalankan diam-diam menginstal backdoor di sistem macOS dan terus berkomunikasi dengan server hacker Korea Utara ('atokyonews[.]com'). File tersebut juga disebarkan oleh pengembang kepada orang lain, memperluas jangkauan malware.
3. Serangan presisi: Setelah Trojan ditanamkan, hacker menangkap data transaksi tim saat menggunakan dompet multisig Gnosis Safe (@safe), yang ditampilkan normal di frontend tetapi mengganti konten permintaan transaksi saat dikirim ke dompet perangkat keras Ledger untuk tanda tangan, memanfaatkan mekanisme blind signing perangkat keras, sehingga anggota tim tanpa sepengetahuan menandatangani transferOwnership(), menyerahkan kontrol kolam pinjaman kepada penyerang, dan kemudian secara besar-besaran mentransfer dana kontrak yang diotorisasi. Meskipun Radiant Capital telah menerapkan berbagai langkah keamanan, termasuk dompet perangkat keras, alat simulasi transaksi (seperti Tenderly), dan prosedur operasi standar industri, mereka tidak dapat mendeteksi anomali karena komputer yang terinfeksi Trojan telah dikendalikan oleh hacker.
4. Melarikan diri: Dalam waktu 3 menit setelah pencurian berhasil, hacker dengan cepat menghapus backdoor sistem dan ekstensi browser, menghilangkan jejak identitas.

三、事件启示
1. Pencegahan unduhan file: Dalam kolaborasi sehari-hari, harus dihindari mengunduh dan membuka file dari sumber yang tidak dikenal, terutama file terkompresi dan file eksekusi, lebih baik menggunakan alat dokumen online (seperti Google Docs, Notion, dll.) untuk melihat dan mengedit di browser, guna mengurangi risiko penyebaran malware. Selain itu, anggota dengan akses sensitif harus meningkatkan keamanan perangkat, menginstal perangkat lunak antivirus, dan memperkuat aturan manajemen file tim untuk mencegah serangan rekayasa sosial.
2. Masalah keamanan frontend: Saat ini, sebagian besar verifikasi transaksi bergantung pada antarmuka frontend, yang mudah dipalsukan oleh hacker, dan serangan rantai pasokan paket frontend sering terjadi, seperti 'Insiden serangan pada pustaka web3.js resmi Solana'.
3. Risiko mekanisme blind signing: Banyak dompet perangkat keras hanya menampilkan ringkasan transaksi sederhana, sulit untuk menunjukkan integritas data transaksi, sehingga pengguna sulit mengenali konten berbahaya. Misalnya, OneKey telah maju dalam aspek blind signing Permit, tetapi tanda tangan penting seperti multisig Safe masih perlu terus diperbaiki.
4. Penguatan pengendalian risiko aset DeFi: Pihak proyek yang mengendalikan dana besar harus menetapkan waktu kunci (Timelock) untuk protokol terkait dana dan memperbaiki proses tata kelola, seperti menggunakan mekanisme penundaan T+1, sehingga transfer dana besar memerlukan waktu tertentu, memberikan waktu bagi lembaga keamanan dan hacker etis untuk mendeteksi anomali, memicu peringatan, dan mengambil langkah-langkah. Pengguna juga dapat membatalkan otorisasi selama periode penundaan, meningkatkan keamanan aset. Selain itu, pihak proyek Radiant tidak memiliki fungsi Revoke dalam hak upgrade kontrak, yang dimanfaatkan oleh hacker untuk mengubah kode kontrak dan melakukan pencurian, menyoroti celah dalam desain kontrak pihak proyek.

#加密市场盘整