- Radiant Capital chịu thiệt hại 50 triệu USD trong một cuộc tấn công mạng được cho là do nhóm UNC4736 liên kết với Triều Tiên thực hiện.
- Kẻ tấn công đã sử dụng phần mềm độc hại tinh vi và kỹ thuật xã hội để vượt qua các giao thức bảo mật.
- Sự cố này làm nổi bật những lỗ hổng nghiêm trọng trong bảo mật DeFi, kêu gọi áp dụng xác minh giao dịch ở cấp độ phần cứng trên toàn ngành.
Radiant Capital đã xác nhận những phát hiện mới xung quanh cuộc tấn công mạng tàn khốc trị giá 50 triệu USD mà họ phải chịu vào ngày 16 tháng 10 năm 2024. Một cuộc điều tra của công ty an ninh mạng Mandiant đã xác định kẻ tấn công là UNC4736, một nhóm đe dọa liên kết với Triều Tiên có liên hệ với Cục Trinh sát Tổng hợp (RGB) của quốc gia này.
Đây là một sự gia tăng đáng báo động khác về mức độ tinh vi của các cuộc tấn công mạng nhắm vào tài chính phi tập trung (DeFi), cho thấy sự cần thiết cấp bách của các biện pháp bảo mật mạnh mẽ hơn trong ngành.
Cách Cuộc Tấn Công Diễn Ra
Cuộc tấn công bắt đầu vào ngày 11 tháng 9 năm 2024, khi một nhà phát triển của Radiant nhận được một tin nhắn Telegram có vẻ bình thường từ một người giả danh là nhà thầu cũ. Tin nhắn có một tệp ZIP, được cho là trình bày công việc của nhà thầu trong việc kiểm toán hợp đồng thông minh. Nhưng nó chứa một phần mềm độc hại tinh vi gọi là INLETDRIFT.
Phần mềm độc hại này, được ngụy trang dưới dạng tệp PDF hợp pháp, đã thiết lập một cửa hậu macOS trên thiết bị của nạn nhân và kết nối nó với một miền bên ngoài do kẻ tấn công kiểm soát. Trong những tuần tiếp theo, UNC4736 đã triển khai các hợp đồng thông minh độc hại trên Arbitrum, Binance Smart Chain, Base và Ethereum, lên kế hoạch tỉ mỉ cho vụ trộm.
Mặc dù Radiant đã tuân theo các giao thức bảo mật tiêu chuẩn, chẳng hạn như mô phỏng giao dịch bằng Tenderly và xác minh tải trọng, kẻ tấn công đã sử dụng các lỗ hổng trong giao diện người dùng để thao túng dữ liệu giao dịch. Đến khi vụ trộm xảy ra, tin tặc đã che giấu hành động của mình rất tốt, khiến việc phát hiện gần như không thể.
Quy Kết và Chiến Thuật
UNC4736, còn được gọi là AppleJeus hoặc Citrine Sleet, là một nhóm đe dọa nổi tiếng liên kết với TEMP.Hermit của Triều Tiên. Nhóm này tập trung vào các tội phạm tài chính mạng, thường sử dụng các kỹ thuật kỹ thuật xã hội tiên tiến để xâm nhập vào hệ thống. Mandiant quy kết cuộc tấn công này cho nhóm với độ tin cậy cao, vì họ sử dụng các chiến thuật cấp nhà nước.
Số tiền bị đánh cắp đã được chuyển đi trong vòng vài phút sau vụ trộm, và mọi dấu vết của phần mềm độc hại và tiện ích mở rộng trình duyệt được sử dụng trong cuộc tấn công đã bị xóa sạch.
Lời Cảnh Tỉnh cho Bảo Mật DeFi
Vụ vi phạm này làm nổi bật những lỗ hổng trong các thực hành bảo mật DeFi hiện tại, đặc biệt là sự phụ thuộc vào việc ký mù và xác minh giao dịch giao diện người dùng. Radiant Capital đã kêu gọi một sự chuyển đổi toàn ngành sang xác minh giao dịch ở cấp độ phần cứng để ngăn chặn các sự cố tương tự.
Radiant DAO đang làm việc với Mandiant, zeroShadow, Hypernative và cơ quan thực thi pháp luật Hoa Kỳ để theo dõi và thu hồi số tiền bị đánh cắp. Các nỗ lực vẫn tiếp tục, và tổ chức dự định chia sẻ những phát hiện của mình để cải thiện tiêu chuẩn bảo mật cho hệ sinh thái tiền điện tử rộng lớn hơn.
Tuyên bố miễn trừ trách nhiệm: Thông tin được trình bày trong bài viết này chỉ nhằm mục đích thông tin và giáo dục. Bài viết không cấu thành lời khuyên tài chính hoặc bất kỳ loại lời khuyên nào. Coin Edition không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh do việc sử dụng nội dung, sản phẩm hoặc dịch vụ được đề cập. Độc giả được khuyên nên thận trọng trước khi thực hiện bất kỳ hành động nào liên quan đến công ty.
