一、事件概述
Pe 16 octombrie 2024, protocolul de împrumut cross-chain descentralizat Radiant Capital bazat pe LayerZero a fost atacat de hackeri, fondurile autorizate ale contractului proiectului fiind furate, cu o pierdere de aproximativ 50 de milioane de dolari. În urma unei investigații efectuate de mai multe companii de securitate angajate de proiect, printre care și Mandiant, raportul este foarte sigur că acest atac este legat de Coreea de Nord.
二、攻击流程
1. Înșelăciune: Pe 11 septembrie, un dezvoltator Radiant Capital a primit un mesaj Telegram care se prezenta ca fiind de la un „Contractor” (lucrător subcontractat), care afirma că se ocupă cu o nouă muncă de audit al contractelor inteligente și cerea ajutor pentru a verifica raportul proiectului, anexând un fișier comprimat și folosind un site fals care semăna foarte mult cu un domeniu real ca pagină personală, ceea ce a dus la faptul că dezvoltatorul nu a observat înșelătoria.
2. Infectare: După ce dezvoltatorul a dezarhivat fișierul, un fișier PDF care părea normal era de fapt un malware executabil numit INLETDRIFT (.app), care, odată pornit, instala în tăcere un backdoor în sistemul macOS și comunica continuu cu serverul hackerilor nord-coreeni („atokyonews[.]com”). Acest fișier a fost, de asemenea, distribuit de dezvoltator altor persoane, extinzând impactul malware-ului.
3. Atac precis: După implantarea troianului, hackerii au interceptat datele de tranzacție ale echipei în timp ce operau portofelul multi-semnătură Gnosis Safe (@safe), afișând în față tranzacția ca fiind normală, dar înlocuind conținutul cererii de tranzacție atunci când aceasta era transmisă către portofelul hardware Ledger pentru semnare. Folosind mecanismul de semnare orb al portofelului hardware, au făcut ca membrii echipei să semneze fără să știe transferOwnership(), transferând controlul asupra fondului de împrumut către atacator, permițând o mutare masivă a fondurilor contractului autorizat. Deși Radiant Capital a implementat diverse măsuri de securitate, inclusiv portofele hardware, instrumente de simulare a tranzacțiilor (cum ar fi Tenderly) și procese standard de operare din industrie, nu a reușit să detecteze anomaliile din cauza infectării cu troian care a dus la controlul computerului de către hackeri.
4. Retragere: La 3 minute după succesul furtului, hackerii au eliminat rapid backdoor-ul sistemului și extensiile browserului, ștergând urmele expunerii identității.
三、事件启示
1. Prevenirea descărcării fișierelor: În colaborarea de zi cu zi, ar trebui evitată descărcarea și deschiderea fișierelor din surse necunoscute, în special arhivele și fișierele executabile, preferând utilizarea instrumentelor de documentare online (cum ar fi Google Docs, Notion etc.) în browser pentru vizualizare și editare, pentru a reduce riscurile de răspândire a malware-ului. În același timp, membrii cu permisiuni sensibile trebuie să îmbunătățească securitatea dispozitivelor, să instaleze software antivirus și să întărească normele de gestionare a fișierelor în echipă pentru a preveni atacurile de inginerie socială.
2. Probleme de securitate la nivel de interfață: În prezent, majoritatea verificărilor de tranzacție depind de interfețele front-end, care pot fi ușor falsificate de hackeri, iar atacurile asupra lanțului de aprovizionare a pachetelor front-end sunt frecvente, cum ar fi „atacul asupra bibliotecii oficiale web3.js de la Solana”.
3. Riscurile mecanismului de semnare orb: Multe portofele hardware afișează doar un rezumat simplu al tranzacției, ceea ce face dificilă prezentarea integrității datelor tranzacției, făcând greu pentru utilizatori să identifice conținutul malițios. De exemplu, OneKey a făcut progrese în ceea ce privește semnarea orb pentru Permit, dar semnăturile importante precum cele multi-semnătură Safe necesită încă îmbunătățiri continue.
4. Întărirea controlului riscurilor pentru activele DeFi: Proiectele care gestionează sume mari de bani ar trebui să configureze un mecanism de blocare în timp (Timelock) pentru protocoalele legate de fonduri și să îmbunătățească procesele de guvernanță, cum ar fi utilizarea mecanismelor de întârziere T+1, astfel încât transferurile mari de fonduri să treacă printr-o anumită perioadă de timp, oferind agențiilor de securitate și hackerilor etici o fereastră de timp pentru a detecta anomalii, a declanșa alerte și a lua măsuri. Utilizatorii ar putea, de asemenea, să revoce autorizația în perioada de întârziere, sporind securitatea activelor. În plus, echipa Radiant, din cauza lipsei funcției de Revocare pentru permisiunile de actualizare a contractelor, a fost exploatată de hackeri pentru a modifica codul prin actualizarea contractului și a implementa furtul, subliniind vulnerabilitățile echipei în proiectarea contractelor.
Vedeți originalul
Radiant Capital被盗事件复盘:朝鲜黑客攻击剖析
Declinarea răspunderii: Include opinii ale terților. Acesta nu este un sfat financiar. Poate include conținut sponsorizat. Consultați Termenii și condițiile
314
0
Răspunsuri 0
Explorați cele mai recente știri despre criptomonede
⚡️ Luați parte la cele mai recente discuții despre criptomonede
💬 Interacționați cu creatorii dvs. preferați
👍 Bucurați-vă de conținutul care vă interesează
E-mail/Număr de telefon