一、事件概述
16 октября 2024 года децентрализованный кросс-чейн займовой протокол Radiant Capital на базе LayerZero подвергся хакерской атаке, в результате которой были украдены средства из контрактов проекта на сумму около 50 миллионов долларов. По результатам расследования, проведенного несколькими компаниями по безопасности, включая Mandiant, было сделано высокую вероятность того, что атака связана с Северной Кореей.

二、攻击流程
1. 伪装:11 сентября один из разработчиков Radiant Capital получил сообщение в Telegram, замаскированное под 'Contractor' (внешний подрядчик), в котором собеседник заявил, что занимается аудитом смарт-контрактов и попросил помочь с просмотром отчета проекта. Также было приложено архивное письмо с файлом, а личная страница была создана на поддельном сайте, похожем на настоящий домен, что привело к тому, что разработчик не заметил мошенничества.
2. 下毒:После распаковки файла, казалось бы, нормальный PDF файл оказался исполняемым вредоносным ПО под названием INLETDRIFT (.app), которое, запустившись, незаметно установило бэкдор в системе macOS и продолжало связь с сервером северокорейских хакеров ('atokyonews[.]com'). Этот файл также был распространен разработчиком среди других участников, что увеличило масштаб распространения вредоносного ПО.
3. 精准攻击:После внедрения трояна хакеры перехватили данные о транзакциях команды при работе с мультиподписным кошельком Gnosis Safe (@safe). На фронтенде данные отображались нормально, но при передаче на аппаратный кошелек Ledger запрос подписи заменялся, что использовало механизм слепой подписи аппаратного кошелька, заставляя членов команды подписывать transferOwnership() без их ведома, передавая контроль над займовой пулой атакующим, что привело к массовому переводу средств из контрактов. Несмотря на то что Radiant Capital применял множество мер безопасности, включая аппаратные кошельки, инструменты симуляции транзакций (такие как Tenderly) и стандартные операционные процедуры, они не смогли обнаружить аномалии из-за того, что компьютер был под контролем хакеров из-за трояна.
4. 撤退:Через 3 минуты после успешной кражи хакеры быстро удалили бэкдор системы и расширения браузера, очистив следы своего присутствия.

三、事件启示
1. 文件下载防范:В повседневной работе следует избегать загрузки и открытия файлов из незнакомых источников, особенно архивов и исполняемых файлов. Предпочтительно использовать онлайн-инструменты для редактирования документов (такие как Google Docs, Notion и т. д.) в браузере, чтобы снизить риск распространения вредоносного ПО. В то же время члены с чувствительными правами должны повысить безопасность своих устройств, установить антивирусное ПО и усилить стандарты управления файлами в команде, чтобы предотвратить атаки социальной инженерии.
2. 前端安全问题:На данный момент большинство проверок транзакций зависят от фронтенд-интерфейсов, что делает их уязвимыми для подделки хакерами информации о транзакциях. Кроме того, часты атаки на цепочку поставок зависимостей фронтенда, такие как 'Атака на официальный веб3.js библиотеку Solana'.
3. 盲签机制隐患:Многие аппаратные кошельки показывают только простую сводку транзакций, что затрудняет отображение целостности данных о транзакциях и делает пользователей трудно распознаваемыми на наличие вредоносного контента. Например, OneKey добился прогресса в области слепой подписи Permit, но важные подписи, такие как мультиподпись Safe, все еще требуют дальнейшего совершенствования.
4. DeFi 资产风控加强:Проектам, управляющим крупными средствами, следует устанавливать временные замки (Timelock) и улучшенные процессы управления для связанных с финансами протоколов, такие как механизмы задержки T+1, чтобы крупные переводы средств проходили с задержкой, предоставляя время для выявления аномалий, активации сигналов тревоги и принятия мер со стороны служб безопасности и белых хакеров. Пользователи также могут отменить авторизацию в течение задержки, что увеличивает безопасность активов. Более того, проект Radiant столкнулся с использованием хакерами функции обновления контрактов без функции отмены (Revoke), что позволило изменить код и осуществить кражу, подчеркивая уязвимости в проектировании контрактов со стороны команды проекта.

#加密市场盘整