A Radiant Capital afirmou que um hack de $50 milhões em sua plataforma de finanças descentralizadas (DeFi) em outubro foi realizado através de malware enviado via Telegram por um hacker alinhado à Coreia do Norte, fingindo ser um ex-contratado.
A Radiant afirmou numa atualização de 6 de dezembro da investigação em curso que a sua empresa de cibersegurança contratada, Mandiant, avaliou "com alta confiança que este ataque é atribuível a um ator de ameaça de um nexus da República Democrática Popular da Coreia (RPDC)."
A plataforma disse que um desenvolvedor Radiant recebeu uma mensagem do Telegram com um arquivo zip de um “antigo contratado confiável” em 11 de setembro, pedindo feedback sobre uma nova empreitada que estavam planejando.
“Após análise, suspeita-se que esta mensagem tenha origem num ator de ameaças alinhado com a RPDC a fazer-se passar pelo antigo contratante”, disse. “Este ficheiro ZIP, quando partilhado para obter feedback entre outros desenvolvedores, acabou por fornecer malware que facilitou a subsequente intrusão.”
Em 16 de outubro, a plataforma DeFi foi forçada a interromper seus mercados de empréstimos depois que um hacker obteve controle das chaves privadas de vários signatários e contratos inteligentes.
Grupos de hackers norte-coreanos foram pegos atacando usuários de macOS com uma nova campanha de malware usando emails de phishing, aplicativos PDF falsos e uma técnica para evitar as verificações de segurança da Apple em 12 de novembro.
Em outubro, hackers norte-coreanos também foram pegos explorando uma vulnerabilidade no Chrome do Google para roubar credenciais da carteira de criptomoedas
Fonte:Radiant Capital
Radiant disse que o arquivo não despertou outras suspeitas porque "pedidos para revisar PDFs são rotineiros em ambientes profissionais", e desenvolvedores "frequentemente compartilham documentos neste formato".
O domínio associado ao arquivo ZIP também falsificou o site legítimo do empreiteiro.
Vários dispositivos do desenvolvedor Radiant foram comprometidos durante o ataque, e as interfaces de front-end exibiam dados de transações benignas enquanto transações maliciosas eram assinadas em segundo plano.
“Verificações tradicionais e simulações não mostraram discrepâncias óbvias, tornando a ameaça praticamente invisível durante as fases normais de revisão”, acrescentou.
“Esta deceção foi realizada de forma tão perfeita que mesmo com as melhores práticas padrão da Radiant, como simular transações no Tenderly, verificar dados de carga útil e seguir os procedimentos operacionais padrão da indústria em cada passo, os atacantes conseguiram comprometer vários dispositivos de desenvolvimento,” escreveu a Radiant
Um exemplo de um PDF de engodo que poderia ser usado por um grupo de hackers maliciosos. Fonte:Radiant Capital
A Radiant Capital acredita que o agente ameaçador responsável é conhecido como “UNC4736,” que também é conhecido como “Citrine Sleet” — acredita-se que esteja alinhado com a principal agência de inteligência da Coreia do Norte, o Bureau Geral de Reconhecimento (RGB), e especula-se que seja um sub-cluster do coletivo de hackers, o Grupo Lázaro.
Os hackers movimentaram cerca de $52 milhões dos fundos roubados do incidente em 24 de outubro.
“Esse incidente demonstra que até mesmo procedimentos operacionais padrão rigorosos, carteiras de hardware, ferramentas de simulação como Tenderly e revisão humana cuidadosa podem ser contornados por atores de ameaças altamente avançados”, escreveu Radiant Capital em sua atualização.
Relacionado:Radiant Capital $58M hack uma 'lição' cara para DeFi
"A dependência da assinatura cega e das verificações de front-end que podem ser falsificadas exige o desenvolvimento de soluções mais fortes a nível de hardware para decodificar e validar as cargas de transação," acrescentou
Não é a primeira vez que a Radiant é comprometida este ano. A plataforma interrompeu os mercados de empréstimos em janeiro, após uma exploração de empréstimo flash de $4.5 milhões.
Após os dois exploits este ano, o valor total bloqueado da Radiant caiu significativamente, de mais de $300 milhões no final do ano passado para cerca de $5.81 milhões em 9 de dezembro, de acordo com o DefiLlama.
Revista:BTC atinge $100k, Trump escolhe Paul Atkins para presidente da SEC e mais: Digest do Hodler, 1 a 7 de dezembro
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
Radiant Capital afirma que a Coreia do Norte se passou por ex-contratante para realizar um hack de $50M
A Radiant Capital afirmou que um hack de $50 milhões em sua plataforma de finanças descentralizadas (DeFi) em outubro foi realizado através de malware enviado via Telegram por um hacker alinhado à Coreia do Norte, fingindo ser um ex-contratado.
A Radiant afirmou numa atualização de 6 de dezembro da investigação em curso que a sua empresa de cibersegurança contratada, Mandiant, avaliou "com alta confiança que este ataque é atribuível a um ator de ameaça de um nexus da República Democrática Popular da Coreia (RPDC)."
A plataforma disse que um desenvolvedor Radiant recebeu uma mensagem do Telegram com um arquivo zip de um “antigo contratado confiável” em 11 de setembro, pedindo feedback sobre uma nova empreitada que estavam planejando.
“Após análise, suspeita-se que esta mensagem tenha origem num ator de ameaças alinhado com a RPDC a fazer-se passar pelo antigo contratante”, disse. “Este ficheiro ZIP, quando partilhado para obter feedback entre outros desenvolvedores, acabou por fornecer malware que facilitou a subsequente intrusão.”
Em 16 de outubro, a plataforma DeFi foi forçada a interromper seus mercados de empréstimos depois que um hacker obteve controle das chaves privadas de vários signatários e contratos inteligentes.
Grupos de hackers norte-coreanos foram pegos atacando usuários de macOS com uma nova campanha de malware usando emails de phishing, aplicativos PDF falsos e uma técnica para evitar as verificações de segurança da Apple em 12 de novembro.
Em outubro, hackers norte-coreanos também foram pegos explorando uma vulnerabilidade no Chrome do Google para roubar credenciais da carteira de criptomoedas
Fonte: Radiant Capital![Hackers, North Korea]()
Radiant disse que o arquivo não despertou outras suspeitas porque "pedidos para revisar PDFs são rotineiros em ambientes profissionais", e desenvolvedores "frequentemente compartilham documentos neste formato".
O domínio associado ao arquivo ZIP também falsificou o site legítimo do empreiteiro.
Vários dispositivos do desenvolvedor Radiant foram comprometidos durante o ataque, e as interfaces de front-end exibiam dados de transações benignas enquanto transações maliciosas eram assinadas em segundo plano.
“Verificações tradicionais e simulações não mostraram discrepâncias óbvias, tornando a ameaça praticamente invisível durante as fases normais de revisão”, acrescentou.
“Esta deceção foi realizada de forma tão perfeita que mesmo com as melhores práticas padrão da Radiant, como simular transações no Tenderly, verificar dados de carga útil e seguir os procedimentos operacionais padrão da indústria em cada passo, os atacantes conseguiram comprometer vários dispositivos de desenvolvimento,” escreveu a Radiant
Um exemplo de um PDF de engodo que poderia ser usado por um grupo de hackers maliciosos. Fonte: Radiant Capital![Hackers, North Korea]()
A Radiant Capital acredita que o agente ameaçador responsável é conhecido como “UNC4736,” que também é conhecido como “Citrine Sleet” — acredita-se que esteja alinhado com a principal agência de inteligência da Coreia do Norte, o Bureau Geral de Reconhecimento (RGB), e especula-se que seja um sub-cluster do coletivo de hackers, o Grupo Lázaro.
Os hackers movimentaram cerca de $52 milhões dos fundos roubados do incidente em 24 de outubro.
“Esse incidente demonstra que até mesmo procedimentos operacionais padrão rigorosos, carteiras de hardware, ferramentas de simulação como Tenderly e revisão humana cuidadosa podem ser contornados por atores de ameaças altamente avançados”, escreveu Radiant Capital em sua atualização.
Relacionado: Radiant Capital $58M hack uma 'lição' cara para DeFi
"A dependência da assinatura cega e das verificações de front-end que podem ser falsificadas exige o desenvolvimento de soluções mais fortes a nível de hardware para decodificar e validar as cargas de transação," acrescentou
Não é a primeira vez que a Radiant é comprometida este ano. A plataforma interrompeu os mercados de empréstimos em janeiro, após uma exploração de empréstimo flash de $4.5 milhões.
Após os dois exploits este ano, o valor total bloqueado da Radiant caiu significativamente, de mais de $300 milhões no final do ano passado para cerca de $5.81 milhões em 9 de dezembro, de acordo com o DefiLlama.
Revista: BTC atinge $100k, Trump escolhe Paul Atkins para presidente da SEC e mais: Digest do Hodler, 1 a 7 de dezembro