A Radiant Capital agora diz que os agentes de ameaças norte-coreanos estão por trás do roubo de US$ 50 milhões em criptomoedas que ocorreu depois que hackers violaram seus sistemas em um ataque cibernético em 16 de outubro.
A atribuição ocorre após investigação do incidente, auxiliada por especialistas em segurança cibernética da Mandiant, que afirmam que o ataque foi conduzido por hackers afiliados ao estado norte-coreano, conhecidos como Citrine Sleet, também conhecidos como "UNC4736" e "AppleJeus".
Os EUA alertaram anteriormente que agentes de ameaças norte-coreanos têm como alvo empresas de criptomoedas, bolsas e empresas de jogos para gerar e lavar fundos para apoiar as operações do país.
Incidente de outubro
A Radiant é uma plataforma de finanças descentralizadas (DeFi) que permite aos usuários depositar, emprestar e gerenciar criptomoedas em várias redes blockchain.
A plataforma utiliza a segurança da blockchain Ethereum através do sistema de escalonamento Arbitrum Layer 2 e opera sob um sistema orientado pela comunidade que permite aos usuários participar da governança através dos lockers RDNT, submeter propostas e votar em iniciativas ativas.
Em 16 de outubro de 2024, a Radiant anunciou que sofreu uma violação de $50M causada por 'malware sofisticado' direcionado a três desenvolvedores de confiança cujos dispositivos foram comprometidos para executar as transações não autorizadas.
Os hackers parecem ter explorado o processo rotineiro de multi-assinatura, coletando assinaturas válidas sob o pretexto de erros de transação e roubando fundos dos mercados da Arbitrum e Binance Smart Chain (BSC).
O ataque contornou a segurança de carteiras de hardware e múltiplas camadas de verificação, e as transações pareciam normais durante verificações manuais e simulações, indicativas de alta sofisticação.
Dedos apontados para a Coreia do Norte
Após uma investigação interna do ataque, auxiliada pela Mandiant, a Radiant agora poderia compartilhar mais informações sobre o malware utilizado e os perpetradores por trás disso.
O ataque começou em 11 de setembro de 2024, quando um desenvolvedor da Radiant recebeu uma mensagem no Telegram se passando por um ex-contratante, enganando-o para baixar um arquivo ZIP malicioso.
O arquivo compactado continha um arquivo PDF a ser usado como isca e um payload de malware para macOS chamado 'InletDrift', que estabeleceu uma porta dos fundos no dispositivo infectado.
A Radiant afirma que o ataque foi tão bem planejado e executado de forma impecável que conseguiu contornar todas as medidas de segurança em vigor.
"Essa decepção foi realizada de forma tão fluida que mesmo com as melhores práticas padrão da Radiant, como simular transações no Tenderly, verificar dados de carga e seguir SOPs padrão da indústria em cada etapa, os atacantes conseguiram comprometer vários dispositivos de desenvolvedores," explicou a Radiant.
"As interfaces de front-end exibiam dados de transação benignos enquanto transações maliciosas eram assinadas em segundo plano. Verificações e simulações tradicionais não mostraram discrepâncias óbvias, tornando a ameaça virtualmente invisível durante as etapas normais de revisão."
A Mandiant avaliou com alta confiança que o ataque foi conduzido pelo UNC4736, o mesmo grupo de ameaças que foi exposto por explorar uma vulnerabilidade zero-day no Google Chrome no início deste ano.
Dada a bem-sucedida violação de suas medidas de segurança, a Radiant sublinha a necessidade de soluções mais robustas a nível de dispositivo para aumentar a segurança das transações.
Quanto aos fundos roubados, a plataforma afirma que está colaborando com a aplicação da lei dos EUA e a zeroShadow para recuperar quaisquer quantias possíveis.
#BURNGMT #BinanceMEOpening $BTC