- Radiant Capital在一次被归因于与朝鲜有关的UNC4736组织的网络攻击中损失了5000万美元。
- 攻击者使用了复杂的恶意软件和社会工程手段绕过了安全协议。
- 这一事件突显了去中心化金融(DeFi)安全中的关键漏洞,敦促整个行业采用硬件级交易验证。
Radiant Capital已确认其在2024年10月16日遭受的毁灭性5000万美元网络攻击的新发现。网络安全公司Mandiant的调查将攻击者识别为UNC4736,这是一个与朝鲜侦察总局(RGB)有关的威胁组织。
这标志着针对去中心化金融(DeFi)的网络攻击复杂性再次令人担忧地上升,显示出该行业迫切需要更强的安全措施。
攻击是如何展开的
攻击始于2024年9月11日,当时一名Radiant开发人员收到了一条看似正常的Telegram消息,发件人冒充为前承包商。消息中附有一个ZIP文件,声称展示了承包商在智能合约审计方面的工作。但其中包含了一种名为INLETDRIFT的复杂恶意软件。
这种恶意软件伪装成合法的PDF文件,在受害者的设备上建立了一个macOS后门,并将其连接到由攻击者控制的外部域。接下来的几周内,UNC4736在Arbitrum、Binance Smart Chain、Base和Ethereum上部署了恶意智能合约,精心策划了这次盗窃。
尽管Radiant遵循了标准的安全协议,如使用Tenderly进行交易模拟和有效载荷验证,攻击者利用前端接口中的漏洞操纵交易数据。到盗窃发生时,黑客已很好地隐藏了他们的行为,使得几乎无法检测。
归因与策略
UNC4736,也被称为AppleJeus或Citrine Sleet,是一个与朝鲜TEMP.Hermit有关的知名威胁组织。该组织专注于网络金融犯罪,通常使用高度先进的社会工程技术渗透系统。Mandiant对该攻击归因于该组织有高度信心,因为他们使用了国家级策略。
被盗资金在盗窃发生后几分钟内被转移,攻击中使用的所有恶意软件和浏览器扩展都被清除。
对DeFi安全的警示
此次漏洞突显了当前DeFi安全实践中的漏洞,特别是对盲签名和前端交易验证的依赖。Radiant Capital呼吁整个行业转向硬件级交易验证,以防止类似事件的发生。
Radiant DAO正在与Mandiant、zeroShadow、Hypernative和美国执法部门合作,追踪和追回被盗资金。努力仍在继续,组织计划分享其发现,以提高更广泛的加密生态系统的安全标准。
免责声明: 本文中提供的信息仅供参考和教育目的。本文不构成财务建议或任何形式的建议。Coin Edition不对因使用本文中提到的内容、产品或服务而造成的任何损失负责。建议读者在与公司相关的任何行动之前谨慎行事。
