Radiant Capital:10月份攻击事件系接收了朝鲜黑客伪装成前承包商发送的恶意软件所致
报道 12月9日消息,据Cointelegraph报道,Radiant Capital表示,10月份其DeFi平台发生的5000万美元黑客攻击事件,是由一名与朝鲜有关联的黑客实施的,该黑客伪装成前承包商,并通过Telegram发送了恶意软件。该平台表示,9月11日,一名Radiant开发人员收到了一位“可信的前承包商”通过Telegram发来的包含zip文件的信息,询问他们对一项新计划的反馈,经审查,这条信息疑似来自一名伪装成前承包商的与朝鲜有关联的威胁行为者,当这个zip文件在开发人员之间共享以征求反馈时,最终释放了恶意软件,促使了后续的入侵。10月16日,一名黑客控制了多个签名者的私钥和智能合约后,该DeFi平台不得不停止其借贷市场。Radiant 表示,该文件没有引起其他怀疑,因为“在专业环境中,要求审查PDF是很常见的”,而且开发人员“经常以这种格式共享文档”。与zip文件相关的域名还伪装了承包商的合法网站。在攻击过程中,多台Radiant开发人员设备被攻破,前端界面显示良性交易数据,而恶意交易则在后台被签署。
Radiant Capital表示:“传统的检查和模拟没有发现明显差异,使得威胁在正常审查阶段几乎不可见。这次欺骗行动进行得如此天衣无缝,即使 Radiant 遵循标准最佳实践,如在 Tenderly 中模拟交易、验证有效载荷数据以及遵循行业标准的标准操作程序(SOP),攻击者仍然能够攻破多台开发人员设备。”Radiant Capital认为,此次攻击的黑客被称为“UNC4736”,也被称为“Citrine Sleet”——据信与朝鲜主要情报机构侦察总局(RGB)有关联,并推测是黑客组织Lazarus Group的一个子集群。