A Radiant Capital revelou novas descobertas sobre o hack de $50 milhões que visava sua plataforma de finanças descentralizadas (DeFi) em outubro, atribuindo o ataque a um grupo de hackers alinhado à Coreia do Norte.

Os atacantes ganharam acesso através de um esquema elaborado envolvendo malware distribuído via Telegram.

Hack DeFi da Radiant Capital de $50M

A violação, descoberta pela primeira vez em 16 de outubro de 2024, levou a Radiant a se associar a empresas de cibersegurança como Mandiant, zeroShadow, Hypernative e SEAL 911 para investigar e mitigar os danos.

De acordo com a postagem oficial do blog, o ataque foi rastreado até 11 de setembro de 2024, quando um desenvolvedor da Radiant recebeu uma mensagem no Telegram de alguém se passando por um ex-contratado. A mensagem, elaborada para parecer inofensiva, solicitou feedback sobre um suposto arquivo PDF relacionado à carreira ligado à auditoria de contratos inteligentes.

O remetente falsificou de forma convincente um site legítimo, reduzindo a suspeita. Assim que o arquivo, intitulado Penpie_Hacking_Analysis_Report.zip, foi aberto, um malware backdoor para macOS chamado INLETDRIFT foi entregue. O malware se comunicava com um servidor externo e parecia inofensivo ao exibir um PDF realista.

Apesar da adesão rigorosa da Radiant a protocolos de segurança, incluindo simulações de transações e verificações de carga útil, o malware evitou a detecção manipulando dados de transação da interface. Os desenvolvedores, sem saber, aprovaram transações maliciosas, acreditando que eram legítimas. O planejamento dos atacantes tornou a intrusão quase indetectável durante verificações rotineiras.

zeroShadow, um provedor de soluções de segurança Web3, também corroborou a avaliação da Radiant Capital de que o hack foi obra de atores ligados à Coreia do Norte. Em um comunicado em 9 de dezembro, a plataforma disse,

“Também atribuímos o incidente da Radiant Capital de 16 de outubro à DPRK com alta confiança com base em múltiplos indicadores que coletamos on-chain e off-chain. Rastrearemos os movimentos para Hyperliquid como provenientes de usuários da Radiant que não conseguiram revogar permissões, e não os fundos roubados do incidente inicial.”

TVL da Radiant caiu mais de 97% este ano

A Radiant Capital é um protocolo de empréstimo e tomada emprestada descentralizado que integra capacidades cross-chain através do uso da tecnologia LayerZero. Os últimos números da DefiLlama colocam seu valor total bloqueado (TVL) em pouco mais de $6 milhões.

O hack de 16 de outubro não é a primeira vez que a Radiant foi comprometida este ano. Em janeiro, uma vulnerabilidade em um contrato inteligente foi explorada, custando à plataforma $4,5 milhões, durante a qual seu TVL era significativamente maior, ultrapassando $300 milhões, destacando uma queda significativa nos ativos bloqueados ao longo do ano, apesar do mercado em alta.

A postagem As Empresas de Segurança Web3 Confirmam o Papel da Coreia do Norte no Hack da Radiant Capital apareceu primeiro no CryptoPotato.