一、事件概述
2024 年 10 月 16 日,基于 LayerZero 的去中心化跨链借贷协议 Radiant Capital 遭受黑客攻击,授权项目合约资金被盗,损失约 5000 万美元。经项目官方聘请包括 Mandiant 在内的多家安全公司调查,报告高度确信此次攻击与朝鲜有关。
二、攻击流程
1. 伪装:9 月 11 日,一名 Radiant Capital 开发者收到伪装成“Contractor”(外包人员)的 Telegram 消息,对方称从事智能合约审计新工作并请求帮忙查看项目报告,还附上压缩文件,且使用了与真实域名极为相似的假冒网站作为个人主页,致使该开发者未察觉骗局。
2. 下毒:开发者解压文件后,看似正常的 PDF 文件实则为名为 INLETDRIFT 的可执行恶意软件(.app),运行后在 macOS 系统中悄然安装后门,并与朝鲜黑客服务器(“atokyonews[.]com”)持续通信。该文件还被开发者传播给其他人员,扩大了恶意软件的影响范围。
3. 精准攻击:植入木马后,黑客截获团队在操作 Gnosis Safe(@safe)多签钱包时的交易数据,在前端显示正常但传输至 Ledger 硬件钱包请求签名时替换交易请求内容,利用硬件钱包盲签机制,使团队成员在不知情下签署 transferOwnership(),将借贷池控制权交予攻击者,进而大规模转移授权合约资金。尽管 Radiant Capital 采用了多种安全措施,包括硬件钱包、交易模拟工具(如 Tenderly)及行业标准操作流程,但因中木马致电脑被黑客控制而未能发现异常。
4. 撤退:盗窃成功后 3 分钟内,黑客迅速移除系统后门和浏览器扩展,清除身份暴露痕迹。
三、事件启示
1. 文件下载防范:日常协作中,应杜绝下载和打开陌生来源文件,尤其是压缩包与可执行文件,优先采用在线文档工具(如 Google Docs、Notion 等)于浏览器中查看编辑,以降低恶意软件传播风险。同时,有敏感权限成员需提升设备安全性,安装杀毒软件,加强团队文件管理规范,防范社交工程攻击。
2. 前端安全问题:当前多数交易验证依赖前端接口,易被黑客伪造交易信息,且前端依赖包供应链攻击频发,如“Solana 官方 web3.js 库被攻击事件”。
3. 盲签机制隐患:许多硬件钱包仅显示简单交易摘要,难以呈现交易数据完整性,致用户难识别恶意内容。例如 OneKey 在 Permit 盲签方面虽有进展,但类似 Safe 多签等重要签名仍需持续完善。
4. DeFi 资产风控加强:掌控大资金的项目方应为资金相关协议设置时间锁(Timelock)与完善治理流程,如采用 T+1 等延迟机制,使大额资金转移经一定时间,为安全机构与白帽黑客提供检测异常、触发警报及采取措施的时间窗口,用户也可在延迟期间撤销授权,增强资产安全性。此外,Radiant 项目方因合约升级权限无 Revoke 功能,被黑客利用升级合约改变代码实施盗窃,凸显项目方在合约设计方面的漏洞。