Il 16 ottobre 2024, Radiant Capital, un protocollo di prestito cross-chain decentralizzato costruito su LayerZero, è stato vittima di un attacco informatico altamente sofisticato che ha causato una perdita impressionante di 50 milioni USD.
L’attacco è stato collegato a hacker nordcoreani, segnando un altro capitolo allarmante nella crescente ondata di crimini informatici che colpiscono la finanza decentralizzata (DeFi).
Report collega attori nordcoreani all’incidente di Radiant Capital
Un rapporto di OneKey, un produttore di hardware wallet crypto supportato da Coinbase, ha attribuito l’attacco a hacker nordcoreani. Il rapporto si estende da un recente post su Medium condiviso da Radiant Capital, che ha fornito un aggiornamento sull’incidente del 16 ottobre.
Secondo quanto riferito, Mandiant, una delle principali aziende di cybersecurity, ha ulteriormente collegato la violazione al gruppo UNC4736, un gruppo allineato alla DPRK noto anche come AppleJeus o Citrine Sleet. Questo gruppo opera sotto il Reconnaissance General Bureau (RGB), l’agenzia di intelligence principale della Corea del Nord.
L’indagine di Mandiant ha rivelato che gli attaccanti hanno pianificato meticolosamente la loro operazione. Hanno messo in scena contratti intelligenti dannosi su più reti blockchain, tra cui Arbitrum, Binance Smart Chain, Base ed Ethereum. Questi sforzi riflettono le capacità avanzate degli attori delle minacce supportati dalla DPRK nel colpire il settore DeFi.
La violazione è iniziata con un attacco di phishing calcolato l’11 settembre 2024. Un sviluppatore di Radiant Capital ha ricevuto un messaggio su Telegram da un individuo che si spacciava per un appaltatore fidato. Il messaggio includeva un file zip che presumibilmente conteneva un rapporto di audit di un contratto intelligente. Questo file, “Penpie_Hacking_Analysis_Report.zip”, era infettato da un malware noto come INLETDRIFT, un backdoor macOS che ha facilitato l’accesso non autorizzato ai sistemi di Radiant.
Quando lo sviluppatore ha aperto il file, sembrava contenere un PDF legittimo. Tuttavia, il malware si è installato silenziosamente, stabilendo una connessione backdoor a un dominio dannoso su atokyonews[.]com. Questo ha permesso agli attaccanti di diffondere ulteriormente il malware tra i membri del team di Radiant, ottenendo un accesso più profondo ai sistemi sensibili.
La strategia degli hacker è culminata in un attacco man-in-the-middle (MITM). Sfruttando i dispositivi compromessi, hanno intercettato e manipolato le richieste di transazione all’interno dei wallet Multisig Gnosis Safe di Radiant. Mentre le transazioni sembravano legittime agli sviluppatori, il malware le alterava segretamente per eseguire una chiamata di trasferimento di proprietà, prendendo il controllo dei contratti del pool di prestiti di Radiant.
Esecuzione del colpo, implicazioni per l’industria e lezioni apprese
Nonostante l’adesione di Radiant alle migliori pratiche, come l’uso di hardware wallet, simulazioni di transazioni e strumenti di verifica, i metodi degli attaccanti hanno bypassato tutte le difese. Entro pochi minuti dall’ottenimento della proprietà, gli hacker hanno svuotato i fondi dai pool di prestiti di Radiant, lasciando la piattaforma e i suoi utenti sconvolti.
L’hack di Radiant Capital serve come un severo avvertimento per l’industria DeFi. Anche i progetti che aderiscono a rigorosi standard di sicurezza possono cadere preda di attori di minacce sofisticati. L’incidente ha evidenziato vulnerabilità critiche, tra cui:
- Rischi di Phishing: L’attacco è iniziato con uno schema di impersonificazione convincente, sottolineando la necessità di una maggiore vigilanza contro la condivisione di file non richiesta.
- Firma Cieca: Sebbene essenziali, gli hardware wallet spesso mostrano solo dettagli di transazione di base, rendendo difficile per gli utenti rilevare modifiche dannose. Sono necessarie soluzioni a livello hardware migliorate per decodificare e convalidare i payload delle transazioni.
- Sicurezza Front-End: L’affidamento alle interfacce front-end per la verifica delle transazioni si è rivelato inadeguato. Interfacce falsificate hanno permesso agli hacker di manipolare i dati delle transazioni senza essere rilevati.
- Debolezze di Governance: L’assenza di meccanismi per revocare i trasferimenti di proprietà ha lasciato i contratti di Radiant vulnerabili. L’implementazione di blocchi temporali o la richiesta di trasferimenti di fondi ritardati potrebbe fornire un tempo di reazione critico in futuri incidenti.
In risposta alla violazione, Radiant Capital ha coinvolto le principali aziende di cybersecurity, tra cui Mandiant, zeroShadow e Hypernative. Queste aziende assistono nell’indagine e nel recupero degli asset. Il DAO di Radiant sta anche collaborando con le forze dell’ordine statunitensi per tracciare e congelare i fondi rubati.
Nel post su Medium, Radiant ha anche riaffermato il suo impegno a condividere le lezioni apprese e migliorare la sicurezza nell’industria DeFi. Il DAO ha sottolineato l’importanza di adottare solidi framework di governance, rafforzare la sicurezza a livello di dispositivo e allontanarsi da pratiche rischiose come la firma cieca.
“Sembra che le cose avrebbero potuto fermarsi al passo 1,” ha commentato un utente su X.
L’incidente di Radiant Capital si allinea con un recente rapporto, che ha indicato come gli hacker nordcoreani continuano a cambiare tattiche. Man mano che i criminali informatici diventano più sofisticati, l’industria deve adattarsi dando priorità alla trasparenza, a misure di sicurezza solide e a sforzi collaborativi per combattere tali attacchi.
Dichiarazione di non responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo informativo generale. Qualsiasi azione intrapresa dal lettore in base alle informazioni contenute nel nostro sito web è strettamente a suo rischio e pericolo.
