一、事件概述
2024 年 10 月 16 日、LayerZero に基づく分散型クロスチェーン貸付プロトコル Radiant Capital がハッキングされ、プロジェクト契約の資金が盗まれ、約 5000 万ドルの損失が発生しました。プロジェクト公式が Mandiant を含む複数のセキュリティ会社を雇って調査した結果、今回の攻撃は北朝鮮に関連しているという強い確信が得られました。

二、攻撃プロセス
1. 偽装:9 月 11 日、Radiant Capital の開発者が「Contractor」(外注者)を装った Telegram メッセージを受け取り、相手はスマートコントラクト監査に関する新しい仕事をしていると主張し、プロジェクトレポートを確認するように依頼しました。また、圧縮ファイルが添付され、実際のドメイン名に非常に似た偽のウェブサイトが個人のホームページとして使用されたため、開発者は詐欺に気づきませんでした。
2. 毒を盛る:開発者がファイルを解凍した後、一見正常な PDF ファイルは実際には INLETDRIFT という名前の実行可能なマルウェア(.app)であり、実行後に macOS システム内にこっそりとバックドアをインストールし、北朝鮮のハッカーサーバー(“atokyonews[.]com”)と継続的に通信しました。このファイルは開発者によって他の人にも広められ、マルウェアの影響範囲が拡大しました。
3. 精密攻撃:トロイの木馬が埋め込まれた後、ハッカーはチームが Gnosis Safe(@safe)のマルチシグウォレットを操作している際の取引データを傍受しました。フロントエンドでは正常に表示されるが、Ledger ハードウェアウォレットに送信された際に取引要求内容が置き換えられ、ハードウェアウォレットのブラインドサイン機構を利用し、チームメンバーが気づかないまま transferOwnership() に署名させ、貸付プールの制御を攻撃者に渡し、その後大規模に契約資金を移転させました。Radiant Capital はハードウェアウォレット、取引シミュレーションツール(Tenderly など)および業界標準の操作手順など、さまざまなセキュリティ対策を採用していましたが、トロイの木馬によりコンピュータがハッカーに制御され、異常を発見できませんでした。
4. 退却:盗難成功後 3 分以内に、ハッカーは迅速にシステムのバックドアとブラウザ拡張を削除し、身元を暴露する痕跡を消去しました。

三、事件の教訓
1. ファイルダウンロードの防止:日常的な協力の中で、知らないソースからのファイルのダウンロードと開封を絶対に避けるべきであり、特に圧縮ファイルや実行ファイルについては、オンライン文書ツール(Google Docs、Notion など)を優先的に使用し、ブラウザ内で表示編集することでマルウェアの拡散リスクを低減します。また、敏感な権限を持つメンバーは、デバイスの安全性を向上させ、ウイルス対策ソフトをインストールし、チームのファイル管理規範を強化し、ソーシャルエンジニアリング攻撃を防止する必要があります。
2. フロントエンドのセキュリティ問題:現在、多くの取引検証はフロントエンドインターフェースに依存しており、ハッカーによって取引情報が偽造されやすく、フロントエンド依存パッケージのサプライチェーン攻撃が頻発しています(例:Solana の公式 web3.js ライブラリの攻撃事件)。
3. ブラインドサイン機構の危険性:多くのハードウェアウォレットは単純な取引概要しか表示せず、取引データの完全性を提示することが難しいため、ユーザーが悪意のある内容を認識しにくくなっています。例えば、OneKey は Permit のブラインドサインに関して進展はありましたが、Safe マルチシグなどの重要な署名については引き続き改善が必要です。
4. DeFi 資産のリスク管理強化:大規模な資金を管理するプロジェクトは、資金関連のプロトコルにタイムロック(Timelock)と適切なガバナンスプロセスを設定するべきで、T+1などの遅延メカニズムを採用し、大額の資金移転に一定の時間を設けることで、セキュリティ機関やホワイトハットハッカーに異常を検出し、警報を発し、対策を講じるための時間ウィンドウを提供します。また、ユーザーは遅延期間中に権限を取り消すことができ、資産の安全性を高めることができます。さらに、Radiant プロジェクトは契約のアップグレード権限に Revoke 機能がないため、ハッカーによってアップグレード契約が利用され、コードが変更されて盗難が行われたことは、プロジェクトが契約設計においての欠陥を浮き彫りにしています。

#加密市场盘整