一、事件概述
Il 16 ottobre 2024, il protocollo di prestito cross-chain decentralizzato Radiant Capital basato su LayerZero è stato attaccato da un hacker, rubando fondi dai contratti autorizzati del progetto, con una perdita di circa 50 milioni di dollari. Dopo un'indagine condotta da diverse aziende di sicurezza, tra cui Mandiant, assunte ufficialmente dal progetto, il rapporto è altamente certo che questo attacco sia collegato alla Corea del Nord.
二、攻击流程
1. Camuffamento: l'11 settembre, uno sviluppatore di Radiant Capital riceve un messaggio Telegram camuffato da "Contractor" (lavoratore esterno) che afferma di lavorare su un nuovo audit di smart contract e chiede aiuto per esaminare il rapporto del progetto, allegando un file compresso e utilizzando un sito web falso molto simile al dominio reale come pagina personale, portando così lo sviluppatore a non accorgersi della truffa.
2. Avvelenamento: dopo aver estratto il file, il file PDF apparentemente normale si è rivelato essere un malware eseguibile chiamato INLETDRIFT (.app), che dopo l'esecuzione installa silenziosamente una backdoor nel sistema macOS e comunica continuamente con il server hacker nordcoreano ("atokyonews[.]com"). Questo file è stato anche diffuso dallo sviluppatore ad altre persone, ampliando l'impatto del malware.
3. Attacco mirato: dopo aver installato il trojan, l'hacker intercetta i dati delle transazioni del team mentre opera con il portafoglio multi-firma Gnosis Safe (@safe), mostrando normalmente nella parte front-end ma sostituendo il contenuto della richiesta di transazione quando viene inviato al portafoglio hardware Ledger per la firma, utilizzando il meccanismo di blind signing del portafoglio hardware, consentendo ai membri del team di firmare unknowingly la transferOwnership(), trasferendo il controllo del pool di prestiti all'attaccante, che ha poi trasferito in massa i fondi dai contratti autorizzati. Sebbene Radiant Capital avesse adottato diverse misure di sicurezza, tra cui portafogli hardware, strumenti di simulazione delle transazioni (come Tenderly) e procedure operative standard del settore, non è riuscita a rilevare l'anomalia poiché il computer era stato controllato dagli hacker a causa del trojan.
4. Ritirata: tre minuti dopo il furto, l'hacker ha rapidamente rimosso la backdoor di sistema e le estensioni del browser, cancellando ogni traccia di esposizione dell'identità.
三、事件启示
1. Prevenzione del download di file: nella collaborazione quotidiana, è necessario evitare di scaricare e aprire file provenienti da fonti sconosciute, in particolare pacchetti compressi e file eseguibili, preferendo utilizzare strumenti di documentazione online (come Google Docs, Notion, ecc.) per visualizzare e modificare nel browser, riducendo il rischio di diffusione di malware. Inoltre, i membri con autorizzazioni sensibili devono aumentare la sicurezza dei dispositivi, installando software antivirus e rafforzando le norme di gestione dei file del team per prevenire attacchi di ingegneria sociale.
2. Problemi di sicurezza front-end: attualmente, la maggior parte delle verifiche delle transazioni dipende dalle interfacce front-end, facilmente falsificabili dagli hacker, e gli attacchi alla catena di fornitura delle dipendenze front-end sono frequenti, come nel caso dell'attacco alla libreria web3.js ufficiale di Solana.
3. Rischi del meccanismo di blind signing: molti portafogli hardware mostrano solo un riepilogo semplice delle transazioni, rendendo difficile presentare l'integrità dei dati delle transazioni, rendendo difficile per gli utenti riconoscere contenuti malevoli. Ad esempio, OneKey ha fatto progressi nel blind signing per i permessi, ma firme importanti come quelle multi-firma di Safe necessitano ancora di miglioramenti continui.
4. Rafforzare il controllo dei rischi degli asset DeFi: i progetti che gestiscono grandi fondi dovrebbero impostare un tempo di blocco (Timelock) per i protocolli relativi ai fondi e migliorare i processi di governance, come l'adozione di meccanismi di ritardo T+1, in modo che i trasferimenti di grandi somme di denaro avvengano dopo un certo periodo, offrendo alle istituzioni di sicurezza e ai white hat hacker una finestra temporale per rilevare anomalie, attivare allarmi e adottare misure; gli utenti possono anche revocare autorizzazioni durante il periodo di ritardo, aumentando la sicurezza degli asset. Inoltre, il team di Radiant ha subito un furto sfruttando la mancanza di una funzione di revoca nei permessi di aggiornamento dei contratti, evidenziando le vulnerabilità del team nel design dei contratti.
Visualizza originale
Analisi del furto di Radiant Capital: analisi dell'attacco degli hacker nordcoreani
Disclaimer: Include opinioni di terze parti. Non è una consulenza finanziaria. Può includere contenuti sponsorizzati. Consulta i T&C.
314
0
Risposte 0
Esplora le ultime notizie sulle crypto
⚡️ Partecipa alle ultime discussioni sulle crypto
💬 Interagisci con i tuoi creator preferiti
👍 Goditi i contenuti che ti interessano
Email / numero di telefono