Radiant Capital cho biết vụ hack trị giá 50 triệu USD vào nền tảng tài chính phi tập trung (DeFi) của họ vào tháng 10 được thực hiện qua phần mềm độc hại gửi qua Telegram từ một hacker liên kết với Triều Tiên, giả mạo là một cựu đối tác. 

Radiant cập nhật trong bản tin ngày 6/12 về cuộc điều tra đang diễn ra, cho biết công ty an ninh mạng Mandiant mà họ hợp tác đã đánh giá “với độ tin cậy cao rằng cuộc tấn công này có thể được quy cho một tác nhân đe dọa có liên hệ với Cộng hòa Dân chủ Nhân dân Triều Tiên .”

🚨 Radiant Capital Incident Update 🚨

A detailed update on the October 16 incident is now available, with Mandiant’s ongoing investigation attributing the attack with high confidence to a Democratic People’s Republic of Korea (DPRK)-linked threat actor.

The report sheds light…

— Radiant Capital (@RDNTCapital) December 7, 2024

Nền tảng này cho biết một nhà phát triển của Radiant đã nhận được một tin nhắn Telegram có file nén từ một “đối tác đáng tin cậy” vào ngày 11/9, yêu cầu phản hồi về một dự án mới mà họ đang lên kế hoạch. 

“Sau khi xem xét, tin nhắn này được nghi ngờ là xuất phát từ một tác nhân đe dọa có liên quan đến hacker Triều Tiên, giả mạo đối tác,” họ cho biết. “File ZIP này, khi được chia sẻ để nhận phản hồi từ các nhà phát triển khác, cuối cùng đã được một người tải phần mềm độc hại này về và tạo điều kiện cho vụ xâm nhập sau đó.” 

Vào ngày 16/10, nền tảng DeFi đã phải tạm dừng các thị trường cho vay sau khi một hacker chiếm quyền kiểm soát các khóa riêng và hợp đồng thông minh của một số người ký. Các nhóm hacker Triều Tiên đã lâu nay nhắm mục tiêu vào các nền tảng crypto và đã đánh cắp 3 tỷ USD tiền mã hóa từ năm 2017 đến 2023.

Radiant cho biết file không gây nghi ngờ vì “yêu cầu xem xét PDF là chuyện thường thấy trong môi trường chuyên nghiệp,” và các nhà phát triển “thường xuyên chia sẻ tài liệu dưới dạng này.” 

Tên miền liên kết với file ZIP cũng giả mạo trang web hợp pháp của đối tác. Nhiều thiết bị của các nhà phát triển Radiant đã bị xâm nhập trong cuộc tấn công, và các giao diện phía người dùng hiển thị dữ liệu giao dịch vô hại trong khi các giao dịch độc hại được ký ở chế độ nền. 

“Các kiểm tra và mô phỏng truyền thống không cho thấy sự khác biệt rõ ràng, khiến mối đe dọa gần như vô hình trong các giai đoạn kiểm tra thông thường,” báo cáo cho biết. 

“Cuộc tấn công này được thực hiện một cách liền mạch đến mức, ngay cả với các quy trình bảo mật tiêu chuẩn của Radiant như mô phỏng giao dịch trên Tenderly, xác minh dữ liệu payload, và tuân thủ SOP (Quy trình vận hành tiêu chuẩn) theo tiêu chuẩn ngành ở mọi bước, các kẻ tấn công vẫn có thể xâm nhập nhiều thiết bị của nhà phát triển,” Radiant viết. 

Radiant Capital cho rằng kẻ chịu trách nhiệm cho vụ tấn công được biết đến với tên “UNC4736,” còn được gọi là “Citrine Sleet” — được cho là liên kết với cơ quan tình báo chính của Triều Tiên, Cục Trinh sát (RGB), và được suy đoán là một nhánh con của tập đoàn hacker Lazarus Group. 

Các hacker đã chuyển khoảng 52 triệu USD từ số tiền bị đánh cắp trong sự cố này vào ngày 24/10. 

“Sự cố này cho thấy ngay cả các SOP nghiêm ngặt, ví cứng, công cụ mô phỏng như Tenderly và việc xem xét kỹ lưỡng của con người cũng có thể bị vượt qua bởi các tác nhân đe dọa có trình độ cao,” Radiant Capital viết trong bản cập nhật. 

“Việc phụ thuộc vào ký mù và xác minh từ giao diện người dùng, vốn có thể bị giả mạo, đòi hỏi sự phát triển các giải pháp cấp phần cứng mạnh mẽ hơn để giải mã và xác thực dữ liệu giao dịch,” bản cập nhật bổ sung. 

Đây không phải lần đầu tiên Radiant bị tấn công trong năm nay. Nền tảng này đã phải dừng các thị trường cho vay vào tháng 1 sau một cuộc tấn công flash loan trị giá 4,5 triệu USD. 

Sau hai vụ tấn công trong năm nay, tổng giá trị tài sản khóa (TVL) của Radiant đã giảm mạnh, từ hơn 300 triệu USD vào cuối năm ngoái xuống còn khoảng 5,81 triệu USD tính đến ngày 9/12, theo DefiLlama. Sự cố nghiêm trọng này xảy ra trong bối cảnh FBI đã cảnh báo về các hacker Triều Tiên đang tăng cường hoạt động trong thị trường uptrend.