Radiant Capital ha dicho que un hackeo de $50 millones en su plataforma de finanzas descentralizadas (DeFi) en octubre fue llevado a cabo a través de malware enviado a través de Telegram por un hacker alineado con Corea del Norte que se hacía pasar por un ex contratista.
Radiant dijo en una actualización del 6 de diciembre de la investigación en curso que su empresa de ciberseguridad contratada, Mandiant, ha evaluado "con alta confianza que este ataque es atribuible a un actor de amenaza del nexo de la República Popular Democrática de Corea (RPDC)".
La plataforma dijo que un desarrollador de Radiant recibió un mensaje de Telegram con un archivo zip de un "contratista anterior de confianza" el 11 de septiembre pidiendo comentarios sobre un nuevo esfuerzo que estaban planeando.
“Tras revisar, se sospecha que este mensaje ha sido originado por un actor de amenazas alineado con la RPDC que se hizo pasar por el antiguo contratista”, dijo. “Este archivo ZIP, al ser compartido para recibir comentarios entre otros desarrolladores, finalmente entregó malware que facilitó la intrusión posterior.”
El 16 de octubre, la plataforma DeFi se vio obligada a detener sus mercados de préstamos después de que un hacker obtuviera el control de las claves privadas de varios firmantes y contratos inteligentes.
Grupos de hackers de Corea del Norte fueron atrapados atacando a usuarios de macOS con una nueva campaña de malware utilizando correos electrónicos de phishing, aplicaciones falsas de PDF y una técnica para evadir las verificaciones de seguridad de Apple el 12 de noviembre.
En octubre, hackers norcoreanos también fueron capturados explotando una vulnerabilidad en el Chrome de Google para robar credenciales de billetera criptográfica.
Fuente:Radiant Capital
Radiant dijo que el archivo no despertó ninguna otra sospecha porque "las solicitudes para revisar archivos PDF son habituales en entornos profesionales" y los desarrolladores "comparten documentos con frecuencia en este formato".
El dominio asociado al archivo ZIP también suplantó el sitio web legítimo del contratista.
Múltiples dispositivos de desarrollo de Radiant fueron comprometidos durante el ataque, y las interfaces de front-end mostraban datos de transacciones benignas mientras se firmaban transacciones maliciosas en segundo plano.
"Los cheques tradicionales y simulaciones no mostraron discrepancias obvias, lo que hace que la amenaza sea virtualmente invisible durante las etapas normales de revisión", agregó.
“Esta mentira fue llevada a cabo tan perfectamente que incluso con las mejores prácticas estándar de Radiant, como simular transacciones en Tenderly, verificar los datos de carga útil y seguir los SOP estándar de la industria en cada paso, los atacantes pudieron comprometer varios dispositivos de los desarrolladores”, escribió Radiant.
Un ejemplo de un PDF señuelo que podría ser utilizado por un grupo de hackers maliciosos. Fuente: Radiant Capital.
Radiant Capital cree que el actor de amenazas responsable es conocido como 'UNC4736', también conocido como 'Citrine Sleet' — se cree que está alineado con la principal agencia de inteligencia de Corea del Norte, la Oficina General de Reconocimiento (RGB), y se especula que es un subgrupo del colectivo de piratería conocido como el Grupo Lázaro.
Los hackers movieron alrededor de $52 millones de los fondos robados del incidente el 24 de octubre.
“Este incidente demuestra que incluso los estrictos SOP, monederos de hardware, herramientas de simulación como Tenderly y la revisión humana cuidadosa pueden ser eludidos por actores de amenazas altamente avanzados”, escribió Radiant Capital en su actualización.
Relacionado:Radiant Capital $58M hack un 'lección' cara para DeFi
La dependencia de la firma ciega y verificaciones en el front-end que pueden ser falsificadas exige el desarrollo de soluciones más fuertes a nivel de hardware para decodificar y validar las cargas útiles de transacción, agregó
No es la primera vez que Radiant ha sido comprometido este año. La plataforma detuvo los mercados de préstamos en enero tras un exploit de préstamo flash de $4.5 millones.
Después de las dos explotaciones este año, el valor total bloqueado de Radiant ha disminuido significativamente, de más de $300 millones a fines del año pasado a alrededor de $5.81 millones al 9 de diciembre, según DefiLlama.
Revista:BTC alcanza los $100,000, Trump elige a Paul Atkins como presidente de la SEC, y más: Resumen de Hodler, 1 al 7 de diciembre
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
Radiant Capital dice que Corea del Norte se hizo pasar por ex contratista para llevar a cabo un hackeo de $50M
Radiant Capital ha dicho que un hackeo de $50 millones en su plataforma de finanzas descentralizadas (DeFi) en octubre fue llevado a cabo a través de malware enviado a través de Telegram por un hacker alineado con Corea del Norte que se hacía pasar por un ex contratista.
Radiant dijo en una actualización del 6 de diciembre de la investigación en curso que su empresa de ciberseguridad contratada, Mandiant, ha evaluado "con alta confianza que este ataque es atribuible a un actor de amenaza del nexo de la República Popular Democrática de Corea (RPDC)".
La plataforma dijo que un desarrollador de Radiant recibió un mensaje de Telegram con un archivo zip de un "contratista anterior de confianza" el 11 de septiembre pidiendo comentarios sobre un nuevo esfuerzo que estaban planeando.
“Tras revisar, se sospecha que este mensaje ha sido originado por un actor de amenazas alineado con la RPDC que se hizo pasar por el antiguo contratista”, dijo. “Este archivo ZIP, al ser compartido para recibir comentarios entre otros desarrolladores, finalmente entregó malware que facilitó la intrusión posterior.”
El 16 de octubre, la plataforma DeFi se vio obligada a detener sus mercados de préstamos después de que un hacker obtuviera el control de las claves privadas de varios firmantes y contratos inteligentes.
Grupos de hackers de Corea del Norte fueron atrapados atacando a usuarios de macOS con una nueva campaña de malware utilizando correos electrónicos de phishing, aplicaciones falsas de PDF y una técnica para evadir las verificaciones de seguridad de Apple el 12 de noviembre.
En octubre, hackers norcoreanos también fueron capturados explotando una vulnerabilidad en el Chrome de Google para robar credenciales de billetera criptográfica.
Fuente: Radiant Capital![Hackers, North Korea]()
Radiant dijo que el archivo no despertó ninguna otra sospecha porque "las solicitudes para revisar archivos PDF son habituales en entornos profesionales" y los desarrolladores "comparten documentos con frecuencia en este formato".
El dominio asociado al archivo ZIP también suplantó el sitio web legítimo del contratista.
Múltiples dispositivos de desarrollo de Radiant fueron comprometidos durante el ataque, y las interfaces de front-end mostraban datos de transacciones benignas mientras se firmaban transacciones maliciosas en segundo plano.
"Los cheques tradicionales y simulaciones no mostraron discrepancias obvias, lo que hace que la amenaza sea virtualmente invisible durante las etapas normales de revisión", agregó.
“Esta mentira fue llevada a cabo tan perfectamente que incluso con las mejores prácticas estándar de Radiant, como simular transacciones en Tenderly, verificar los datos de carga útil y seguir los SOP estándar de la industria en cada paso, los atacantes pudieron comprometer varios dispositivos de los desarrolladores”, escribió Radiant.
Un ejemplo de un PDF señuelo que podría ser utilizado por un grupo de hackers maliciosos. Fuente: Radiant Capital.![Hackers, North Korea]()
Radiant Capital cree que el actor de amenazas responsable es conocido como 'UNC4736', también conocido como 'Citrine Sleet' — se cree que está alineado con la principal agencia de inteligencia de Corea del Norte, la Oficina General de Reconocimiento (RGB), y se especula que es un subgrupo del colectivo de piratería conocido como el Grupo Lázaro.
Los hackers movieron alrededor de $52 millones de los fondos robados del incidente el 24 de octubre.
“Este incidente demuestra que incluso los estrictos SOP, monederos de hardware, herramientas de simulación como Tenderly y la revisión humana cuidadosa pueden ser eludidos por actores de amenazas altamente avanzados”, escribió Radiant Capital en su actualización.
Relacionado: Radiant Capital $58M hack un 'lección' cara para DeFi
La dependencia de la firma ciega y verificaciones en el front-end que pueden ser falsificadas exige el desarrollo de soluciones más fuertes a nivel de hardware para decodificar y validar las cargas útiles de transacción, agregó
No es la primera vez que Radiant ha sido comprometido este año. La plataforma detuvo los mercados de préstamos en enero tras un exploit de préstamo flash de $4.5 millones.
Después de las dos explotaciones este año, el valor total bloqueado de Radiant ha disminuido significativamente, de más de $300 millones a fines del año pasado a alrededor de $5.81 millones al 9 de diciembre, según DefiLlama.
Revista: BTC alcanza los $100,000, Trump elige a Paul Atkins como presidente de la SEC, y más: Resumen de Hodler, 1 al 7 de diciembre