Radiant Capital cho biết một cuộc hack trị giá 50 triệu đô la trên nền tảng tài chính phi tập trung (DeFi) của họ vào tháng 10 đã được tiến hành thông qua phần mềm độc hại được gửi qua Telegram từ một hacker liên kết với Triều Tiên giả danh là một nhà thầu trước đây.
Radiant cho biết trong cập nhật vào ngày 6 tháng 12 về cuộc điều tra đang diễn ra rằng công ty an ninh mạng Mandiant được thuê của nó đã đánh giá "với độ tin cậy cao rằng cuộc tấn công này có thể được liên kết với một nhân vật đe dọa của Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK)."
Nền tảng này cho biết một nhà phát triển Radiant đã nhận được một tin nhắn Telegram với một tệp zip từ một "nhà thầu cũ đáng tin cậy" vào ngày 11 tháng 9 yêu cầu phản hồi về một nỗ lực mới mà họ đang lên kế hoạch.
“Sau khi xem xét, tin nhắn này được nghi ngờ là từ một nhóm đe dọa có liên quan đến CHDCND Triều Tiên giả mạo nhà thầu trước đây”, nó nói. “Tập tin ZIP này, khi chia sẻ để nhận phản hồi từ các nhà phát triển khác, cuối cùng cung cấp phần mềm độc hại đã tạo điều kiện cho việc xâm nhập tiếp theo.”
Vào ngày 16/10, nền tảng DeFi đã buộc phải ngừng hoạt động thị trường cho vay sau khi một hacker chiếm quyền kiểm soát các khóa bí mật của một số người ký và hợp đồng thông minh.
Nhóm hacker Bắc Triều Tiên đã bị bắt quả tang khi tấn công người dùng macOS bằng chiến dịch phần mềm độc hại mới sử dụng email lừa đảo, ứng dụng PDF giả mạo và một kỹ thuật để né tránh các kiểm tra bảo mật của Apple vào ngày 12 tháng 11.
Vào tháng 10, các hacker Bắc Triều Tiên cũng bị bắt quả tang đang tận dụng một lỗ hổng trong Google Chrome để đánh cắp thông tin đăng nhập ví tiền điện tử.
Nguồn:Radiant Capital
Radiant nói rằng tệp này không gây ra bất kỳ nghi ngờ nào khác vì “yêu cầu xem xét PDF là thường xuyên trong môi trường chuyên nghiệp,” và các nhà phát triển “thường xuyên chia sẻ tài liệu theo định dạng này.”
Tên miền liên quan đến tệp ZIP cũng làm giả trang web hợp pháp của nhà thầu.
Nhiều thiết bị phát triển Radiant đã bị xâm nhập trong cuộc tấn công, và giao diện front-end hiển thị dữ liệu giao dịch vô hại trong khi giao dịch độc hại được ký ở nền tảng.
“Các kiểm tra và mô phỏng theo phong cách truyền thống không cho thấy sự không nhất quán rõ ràng nào, khiến cho mối đe dọa gần như vô hình trong quá trình xem xét bình thường,” nó thêm.
"Sự lừa đảo này được thực hiện một cách mượt mà đến mức ngay cả với các bước tiêu chuẩn tốt nhất của Radiant, như mô phỏng giao dịch trong Tenderly, xác minh dữ liệu payload, và tuân thủ các SOP tiêu chuẩn ngành công nghiệp ở mỗi bước, kẻ tấn công vẫn có thể xâm nhập vào nhiều thiết bị phát triển." Radiant đã viết
Một ví dụ về một tập tin PDF mêu được có thể được sử dụng bởi một nhóm hacker độc hại. Nguồn:Radiant Capital
Radiant Capital cho rằng tác giả đe dọa có tên gọi là “UNC4736,” còn được biết đến với tên gọi “Citrine Sleet” - được tin là liên quan đến Cục Tình báo Tổng hợp (RGB) của Cơ quan Tình báo Chính phủ Bắc Hàn và được cho là một nhánh con của nhóm hacker Lazarus.
Những hacker đã chuyển khoảng 52 triệu đô la từ số tiền bị đánh cắp trong sự cố vào ngày 24 tháng 10.
“Sự việc này cho thấy rằng ngay cả quy trình tiêu chuẩn nghiêm ngặt, ví tiền điện tử, công cụ mô phỏng như Tenderly và việc xem xét cẩn thận của con người cũng có thể bị các nhân vật đe dọa cao cấp vượt qua,” Radiant Capital viết trong cập nhật của mình.
Liên quan:Vụ hack 58 triệu đô la của Radiant Capital là một 'bài học' đắt đỏ cho DeFi
“Sự phụ thuộc vào ký ức mù và xác minh phía trước có thể bị giả mạo đòi hỏi phát triển các giải pháp cứng cấp độ phần cứng mạnh mẽ hơn để giải mã và xác thực tải trọng giao dịch,” bổ sung.
Điều này không phải là lần đầu tiên Radiant bị tấn công trong năm nay. Nền tảng đã tạm ngừng thị trường cho vay vào tháng 1 sau khi bị khai thác khoản vay flash 4,5 triệu đô la.
Sau hai cuộc tấn công trong năm nay, giá trị tổng cộng của Radiant đã giảm đáng kể, từ hơn 300 triệu đô la vào cuối năm ngoái xuống còn khoảng 5,81 triệu đô la tính đến ngày 9 tháng 12, theo DefiLlama.
Tạp chí:BTC đạt 100.000 đô la, Trump chọn Paul Atkins làm Chủ tịch SEC, và nhiều tin khác: Hodler's Digest, ngày 1 - 7 tháng 12
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Radiant Capital cho biết Bắc Triều Tiên giả danh nhà thầu cũ để thực hiện cuỗm 50 triệu đô la
Radiant Capital cho biết một cuộc hack trị giá 50 triệu đô la trên nền tảng tài chính phi tập trung (DeFi) của họ vào tháng 10 đã được tiến hành thông qua phần mềm độc hại được gửi qua Telegram từ một hacker liên kết với Triều Tiên giả danh là một nhà thầu trước đây.
Radiant cho biết trong cập nhật vào ngày 6 tháng 12 về cuộc điều tra đang diễn ra rằng công ty an ninh mạng Mandiant được thuê của nó đã đánh giá "với độ tin cậy cao rằng cuộc tấn công này có thể được liên kết với một nhân vật đe dọa của Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK)."
Nền tảng này cho biết một nhà phát triển Radiant đã nhận được một tin nhắn Telegram với một tệp zip từ một "nhà thầu cũ đáng tin cậy" vào ngày 11 tháng 9 yêu cầu phản hồi về một nỗ lực mới mà họ đang lên kế hoạch.
“Sau khi xem xét, tin nhắn này được nghi ngờ là từ một nhóm đe dọa có liên quan đến CHDCND Triều Tiên giả mạo nhà thầu trước đây”, nó nói. “Tập tin ZIP này, khi chia sẻ để nhận phản hồi từ các nhà phát triển khác, cuối cùng cung cấp phần mềm độc hại đã tạo điều kiện cho việc xâm nhập tiếp theo.”
Vào ngày 16/10, nền tảng DeFi đã buộc phải ngừng hoạt động thị trường cho vay sau khi một hacker chiếm quyền kiểm soát các khóa bí mật của một số người ký và hợp đồng thông minh.
Nhóm hacker Bắc Triều Tiên đã bị bắt quả tang khi tấn công người dùng macOS bằng chiến dịch phần mềm độc hại mới sử dụng email lừa đảo, ứng dụng PDF giả mạo và một kỹ thuật để né tránh các kiểm tra bảo mật của Apple vào ngày 12 tháng 11.
Vào tháng 10, các hacker Bắc Triều Tiên cũng bị bắt quả tang đang tận dụng một lỗ hổng trong Google Chrome để đánh cắp thông tin đăng nhập ví tiền điện tử.
Nguồn: Radiant Capital![Hackers, North Korea]()
Radiant nói rằng tệp này không gây ra bất kỳ nghi ngờ nào khác vì “yêu cầu xem xét PDF là thường xuyên trong môi trường chuyên nghiệp,” và các nhà phát triển “thường xuyên chia sẻ tài liệu theo định dạng này.”
Tên miền liên quan đến tệp ZIP cũng làm giả trang web hợp pháp của nhà thầu.
Nhiều thiết bị phát triển Radiant đã bị xâm nhập trong cuộc tấn công, và giao diện front-end hiển thị dữ liệu giao dịch vô hại trong khi giao dịch độc hại được ký ở nền tảng.
“Các kiểm tra và mô phỏng theo phong cách truyền thống không cho thấy sự không nhất quán rõ ràng nào, khiến cho mối đe dọa gần như vô hình trong quá trình xem xét bình thường,” nó thêm.
"Sự lừa đảo này được thực hiện một cách mượt mà đến mức ngay cả với các bước tiêu chuẩn tốt nhất của Radiant, như mô phỏng giao dịch trong Tenderly, xác minh dữ liệu payload, và tuân thủ các SOP tiêu chuẩn ngành công nghiệp ở mỗi bước, kẻ tấn công vẫn có thể xâm nhập vào nhiều thiết bị phát triển." Radiant đã viết
Một ví dụ về một tập tin PDF mêu được có thể được sử dụng bởi một nhóm hacker độc hại. Nguồn: Radiant Capital![Hackers, North Korea]()
Radiant Capital cho rằng tác giả đe dọa có tên gọi là “UNC4736,” còn được biết đến với tên gọi “Citrine Sleet” - được tin là liên quan đến Cục Tình báo Tổng hợp (RGB) của Cơ quan Tình báo Chính phủ Bắc Hàn và được cho là một nhánh con của nhóm hacker Lazarus.
Những hacker đã chuyển khoảng 52 triệu đô la từ số tiền bị đánh cắp trong sự cố vào ngày 24 tháng 10.
“Sự việc này cho thấy rằng ngay cả quy trình tiêu chuẩn nghiêm ngặt, ví tiền điện tử, công cụ mô phỏng như Tenderly và việc xem xét cẩn thận của con người cũng có thể bị các nhân vật đe dọa cao cấp vượt qua,” Radiant Capital viết trong cập nhật của mình.
Liên quan: Vụ hack 58 triệu đô la của Radiant Capital là một 'bài học' đắt đỏ cho DeFi
“Sự phụ thuộc vào ký ức mù và xác minh phía trước có thể bị giả mạo đòi hỏi phát triển các giải pháp cứng cấp độ phần cứng mạnh mẽ hơn để giải mã và xác thực tải trọng giao dịch,” bổ sung.
Điều này không phải là lần đầu tiên Radiant bị tấn công trong năm nay. Nền tảng đã tạm ngừng thị trường cho vay vào tháng 1 sau khi bị khai thác khoản vay flash 4,5 triệu đô la.
Sau hai cuộc tấn công trong năm nay, giá trị tổng cộng của Radiant đã giảm đáng kể, từ hơn 300 triệu đô la vào cuối năm ngoái xuống còn khoảng 5,81 triệu đô la tính đến ngày 9 tháng 12, theo DefiLlama.
Tạp chí: BTC đạt 100.000 đô la, Trump chọn Paul Atkins làm Chủ tịch SEC, và nhiều tin khác: Hodler's Digest, ngày 1 - 7 tháng 12