Radiant Capital заявила, что взлом на $50 миллионов на ее платформе децентрализованной финансовой (DeFi) в октябре был осуществлен через вредоносные программы, отправленные через Telegram от хакера, поддерживающего Северную Корею, выдающего себя за бывшего контрактника.
Компания Radiant заявила в обновлении от 6 декабря о продолжающемся расследовании, что ее контрактная фирма по кибербезопасности Mandiant оценила, что “с высокой уверенностью этот атака может быть приписана актору угрозы из сферы Корейской Народно-Демократической Республики (КНДР).”
Платформа сообщила, что разработчик Radiant получил сообщение в Telegram с zip-файлом от "доверенного бывшего подрядчика" 11 сентября с просьбой о обратной связи по новому начинанию, над которым они работали.
“После проверки было подозрение, что это сообщение могло поступить от угрозы, связанной с КНДР, выдававшей себя за бывшего контрактника”, - говорится в нем. “Этот ZIP-файл, когда его делятся для обратной связи среди других разработчиков, в конечном итоге доставил вредоносные программы, которые облегчили последующее вторжение.”
16 октября DeFi-платформа была вынуждена приостановить свои рынки кредитования после того, как хакер получил контроль над частными ключами нескольких подписантов и смарт-контрактами.
Группы хакеров из Северной Кореи были пойманы при атаке на пользователей macOS с использованием новой кампании вредоносных программ, использующих фишинговые электронные письма, поддельные приложения PDF и технику обхода системы безопасности Apple 12 ноября.
В октябре также было обнаружено, что северокорейские хакеры использовали уязвимость в Chrome от Google для кражи учетных данных кошелька криптовалюты
Источник:Radiant Capital
Radiant сказал, что файл не вызвал никаких других подозрений, потому что "запросы на просмотр PDF-файлов являются рутинными в профессиональной среде", а разработчики "часто делятся документами в этом формате".
Домен, связанный с ZIP-файлом, также подделывал легитимный веб-сайт подрядчика.
Во время атаки было скомпрометировано несколько разработческих устройств Radiant, и интерфейсы фронтенда отображали безопасные данные транзакций, в то время как в фоновом режиме подписывались злонамеренные транзакции.
«Традиционные проверки и симуляции не выявили явных расхождений, делая угрозу практически невидимой во время обычных этапов проверки», — добавили они.
«Это обман был проведен настолько бесшовно, что даже при соблюдении стандартных лучших практик Radiant, таких как моделирование транзакций в Tenderly, проверка данных полезной нагрузки и соблюдение отраслевых стандартных SOP на каждом этапе, злоумышленники смогли скомпрометировать несколько устройств разработчика», написала Radiant
Пример маскировочного PDF-файла, который может быть использован злонамеренной хакерской группой. Источник:Radiant Capital
Radiant Capital считает, что угроза, за которой стоит хакерская группа, известная как «UNC4736», также известная как «Citrine Sleet», связана с главным разведывательным агентством Северной Кореи - Главное разведывательное управление (RGB) и, как предполагается, является подгруппой хакерского коллектива Lazarus Group.
Хакеры переместили около 52 миллионов долларов украденных средств от инцидента 24 октября.
«Этот инцидент показывает, что даже строгие положения по эксплуатации, аппаратные кошельки, инструменты симуляции, такие как Tenderly, и тщательный анализ человеком могут быть обойдены высокоразвитыми угрозами», - написала Radiant Capital в своем обновлении.
Связанные:Хакерская атака на Radiant Capital на $58 млн - дорогой урок для DeFi
"На зависимость от слепой подписи и фронтенд-проверок, которые могут быть подделаны, требуется разработка более надежных аппаратных решений для декодирования и проверки транзакционных данных", - добавил.
Это не первый раз, когда Radiant подвергалась компрометации в этом году. Платформа прекратила функционирование рынков кредитования в январе после эксплуатации флеш-кредита на сумму 4,5 миллиона долларов.
После двух эксплуатаций в этом году общая заблокированная стоимость Radiant значительно снизилась с более чем 300 миллионов долларов в конце прошлого года до примерно 5,81 миллиона долларов на 9 декабря, согласно DefiLlama.
Журнал:BTC достигает отметки в $100K, Трамп назначает Пола Аткинса на пост председателя SEC и многое другое: Обзор Hodler, 1 - 7 декабря
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Radiant Capital говорит, что Северная Корея выступила под видом бывшего контрагента, чтобы совершить хакерскую атаку на $50 млн
Radiant Capital заявила, что взлом на $50 миллионов на ее платформе децентрализованной финансовой (DeFi) в октябре был осуществлен через вредоносные программы, отправленные через Telegram от хакера, поддерживающего Северную Корею, выдающего себя за бывшего контрактника.
Компания Radiant заявила в обновлении от 6 декабря о продолжающемся расследовании, что ее контрактная фирма по кибербезопасности Mandiant оценила, что “с высокой уверенностью этот атака может быть приписана актору угрозы из сферы Корейской Народно-Демократической Республики (КНДР).”
Платформа сообщила, что разработчик Radiant получил сообщение в Telegram с zip-файлом от "доверенного бывшего подрядчика" 11 сентября с просьбой о обратной связи по новому начинанию, над которым они работали.
“После проверки было подозрение, что это сообщение могло поступить от угрозы, связанной с КНДР, выдававшей себя за бывшего контрактника”, - говорится в нем. “Этот ZIP-файл, когда его делятся для обратной связи среди других разработчиков, в конечном итоге доставил вредоносные программы, которые облегчили последующее вторжение.”
16 октября DeFi-платформа была вынуждена приостановить свои рынки кредитования после того, как хакер получил контроль над частными ключами нескольких подписантов и смарт-контрактами.
Группы хакеров из Северной Кореи были пойманы при атаке на пользователей macOS с использованием новой кампании вредоносных программ, использующих фишинговые электронные письма, поддельные приложения PDF и технику обхода системы безопасности Apple 12 ноября.
В октябре также было обнаружено, что северокорейские хакеры использовали уязвимость в Chrome от Google для кражи учетных данных кошелька криптовалюты
Источник: Radiant Capital![Hackers, North Korea]()
Radiant сказал, что файл не вызвал никаких других подозрений, потому что "запросы на просмотр PDF-файлов являются рутинными в профессиональной среде", а разработчики "часто делятся документами в этом формате".
Домен, связанный с ZIP-файлом, также подделывал легитимный веб-сайт подрядчика.
Во время атаки было скомпрометировано несколько разработческих устройств Radiant, и интерфейсы фронтенда отображали безопасные данные транзакций, в то время как в фоновом режиме подписывались злонамеренные транзакции.
«Традиционные проверки и симуляции не выявили явных расхождений, делая угрозу практически невидимой во время обычных этапов проверки», — добавили они.
«Это обман был проведен настолько бесшовно, что даже при соблюдении стандартных лучших практик Radiant, таких как моделирование транзакций в Tenderly, проверка данных полезной нагрузки и соблюдение отраслевых стандартных SOP на каждом этапе, злоумышленники смогли скомпрометировать несколько устройств разработчика», написала Radiant
Пример маскировочного PDF-файла, который может быть использован злонамеренной хакерской группой. Источник: Radiant Capital![Hackers, North Korea]()
Radiant Capital считает, что угроза, за которой стоит хакерская группа, известная как «UNC4736», также известная как «Citrine Sleet», связана с главным разведывательным агентством Северной Кореи - Главное разведывательное управление (RGB) и, как предполагается, является подгруппой хакерского коллектива Lazarus Group.
Хакеры переместили около 52 миллионов долларов украденных средств от инцидента 24 октября.
«Этот инцидент показывает, что даже строгие положения по эксплуатации, аппаратные кошельки, инструменты симуляции, такие как Tenderly, и тщательный анализ человеком могут быть обойдены высокоразвитыми угрозами», - написала Radiant Capital в своем обновлении.
Связанные: Хакерская атака на Radiant Capital на $58 млн - дорогой урок для DeFi
"На зависимость от слепой подписи и фронтенд-проверок, которые могут быть подделаны, требуется разработка более надежных аппаратных решений для декодирования и проверки транзакционных данных", - добавил.
Это не первый раз, когда Radiant подвергалась компрометации в этом году. Платформа прекратила функционирование рынков кредитования в январе после эксплуатации флеш-кредита на сумму 4,5 миллиона долларов.
После двух эксплуатаций в этом году общая заблокированная стоимость Radiant значительно снизилась с более чем 300 миллионов долларов в конце прошлого года до примерно 5,81 миллиона долларов на 9 декабря, согласно DefiLlama.
Журнал: BTC достигает отметки в $100K, Трамп назначает Пола Аткинса на пост председателя SEC и многое другое: Обзор Hodler, 1 - 7 декабря