Radiant Capital: Nhóm hacker Triều Tiên là “tác giả” của vụ hack trị giá 50 triệu USD
Radiant Capital cho biết vụ hack trị giá 50 triệu USD vào nền tảng tài chính phi tập trung (DeFi) của họ vào tháng 10 được thực hiện qua phần mềm độc hại gửi qua Telegram từ một hacker liên kết với Triều Tiên, giả mạo là một cựu đối tác.
Radiant cập nhật trong bản tin ngày 6/12 về cuộc điều tra đang diễn ra, cho biết công ty an ninh mạng Mandiant mà họ hợp tác đã đánh giá “với độ tin cậy cao rằng cuộc tấn công này có thể được quy cho một tác nhân đe dọa có liên hệ với Cộng hòa Dân chủ Nhân dân Triều Tiên .”
🚨 Radiant Capital Incident Update 🚨
A detailed update on the October 16 incident is now available, with Mandiant’s ongoing investigation attributing the attack with high confidence to a Democratic People’s Republic of Korea (DPRK)-linked threat actor.
Nền tảng này cho biết một nhà phát triển của Radiant đã nhận được một tin nhắn Telegram có file nén từ một “đối tác đáng tin cậy” vào ngày 11/9, yêu cầu phản hồi về một dự án mới mà họ đang lên kế hoạch.
“Sau khi xem xét, tin nhắn này được nghi ngờ là xuất phát từ một tác nhân đe dọa có liên quan đến hacker Triều Tiên, giả mạo đối tác,” họ cho biết. “File ZIP này, khi được chia sẻ để nhận phản hồi từ các nhà phát triển khác, cuối cùng đã được một người tải phần mềm độc hại này về và tạo điều kiện cho vụ xâm nhập sau đó.”
Vào ngày 16/10, nền tảng DeFi đã phải tạm dừng các thị trường cho vay sau khi một hacker chiếm quyền kiểm soát các khóa riêng và hợp đồng thông minh của một số người ký. Các nhóm hacker Triều Tiên đã lâu nay nhắm mục tiêu vào các nền tảng crypto và đã đánh cắp 3 tỷ USD tiền mã hóa từ năm 2017 đến 2023.
Radiant cho biết file không gây nghi ngờ vì “yêu cầu xem xét PDF là chuyện thường thấy trong môi trường chuyên nghiệp,” và các nhà phát triển “thường xuyên chia sẻ tài liệu dưới dạng này.”
Tên miền liên kết với file ZIP cũng giả mạo trang web hợp pháp của đối tác.Nhiều thiết bị của các nhà phát triển Radiant đã bị xâm nhập trong cuộc tấn công, và các giao diện phía người dùng hiển thị dữ liệu giao dịch vô hại trong khi các giao dịch độc hại được ký ở chế độ nền.
“Các kiểm tra và mô phỏng truyền thống không cho thấy sự khác biệt rõ ràng, khiến mối đe dọa gần như vô hình trong các giai đoạn kiểm tra thông thường,” báo cáo cho biết.
“Cuộc tấn công này được thực hiện một cách liền mạch đến mức, ngay cả với các quy trình bảo mật tiêu chuẩn của Radiant như mô phỏng giao dịch trên Tenderly, xác minh dữ liệu payload, và tuân thủ SOP (Quy trình vận hành tiêu chuẩn) theo tiêu chuẩn ngành ở mọi bước, các kẻ tấn công vẫn có thể xâm nhập nhiều thiết bị của nhà phát triển,” Radiant viết.
Ví dụ về một file PDF mồi nhử có thể được sử dụng bởi một nhóm hacker độc hại. Nguồn: Radiant Capital.
Radiant Capital cho rằng kẻ chịu trách nhiệm cho vụ tấn công được biết đến với tên “UNC4736,” còn được gọi là “Citrine Sleet” — được cho là liên kết với cơ quan tình báo chính của Triều Tiên, Cục Trinh sát (RGB), và được suy đoán là một nhánh con của tập đoàn hacker Lazarus Group.
Các hacker đã chuyển khoảng 52 triệu USD từ số tiền bị đánh cắp trong sự cố này vào ngày 24/10.
“Sự cố này cho thấy ngay cả các SOP nghiêm ngặt, ví cứng, công cụ mô phỏng như Tenderly và việc xem xét kỹ lưỡng của con người cũng có thể bị vượt qua bởi các tác nhân đe dọa có trình độ cao,” Radiant Capital viết trong bản cập nhật.
“Việc phụ thuộc vào ký mù và xác minh từ giao diện người dùng, vốn có thể bị giả mạo, đòi hỏi sự phát triển các giải pháp cấp phần cứng mạnh mẽ hơn để giải mã và xác thực dữ liệu giao dịch,” bản cập nhật bổ sung.
Đây không phải lần đầu tiên Radiant bị tấn công trong năm nay. Nền tảng này đã phải dừng các thị trường cho vay vào tháng 1 sau một cuộc tấn công flash loan trị giá 4,5 triệu USD.
Sau hai vụ tấn công trong năm nay, tổng giá trị tài sản khóa (TVL) của Radiant đã giảm mạnh, từ hơn 300 triệu USD vào cuối năm ngoái xuống còn khoảng 5,81 triệu USD tính đến ngày 9/12, theo DefiLlama. Sự cố nghiêm trọng này xảy ra trong bối cảnh FBI đã cảnh báo về các hacker Triều Tiên đang tăng cường hoạt động trong thị trường uptrend.
Thị trường NFT "hạ nhiệt" trong bối cảnh thị trường crypto đang "sôi động" Trong năm 2024, thị trường NFT đã trải qua những biến động lớn, với khối lượng giao dịch trên các sàn giao dịch NFT giảm sâu đáng kể. Dữ liệu từ The Block Pro cho thấy,...
Binance bị giới hạn tại Singapore Binance vừa công bố sẽ giới hạn đối với khách hàng Singapore sau khi ngân hàng Trung ương của đất nước này đưa sàn giao dịch tiền mã hóa vào Danh sách cảnh báo của nhà đầu tư và yêu cầu sàn giao dịch...
Tổng quan Movement, một layer 2 được xây dựng dựa trên ngôn ngữ lập trình Move, tương tự như Sui hay Aptos. Dự án được phát triển bởi Movement Labs. Movement đã huy động vốn thành công hơn 41.4 triệu USD từ các quỹ đầu tư lớn như Binance Labs, Polychain...
Sàn BingX bị hack, thiệt hại hơn 20 triệu đô Vào ngày 20/9, sàn giao dịch BingX đã thông báo rằng họ đã trở thành nạn nhân của một cuộc tấn công mạng dẫn đến việc mất tổng cộng 43 triệu đô từ ví nóng của họ. Sự cố này...
Tổng thống Argentina Javier Milei lên tiếng về vụ bê bối memecoin Libra Trong một cuộc phỏng vấn với đài truyền hình địa phương Todo Noticias vào tối thứ Hai, Tổng thống Milei đã giải thích về vai trò của mình trong vụ việc gây xôn xao dư luận. "Tôi...
Trong một bài phát biểu tại The Economic Club of Pittsburgh vào ngày 25/9, Phó Tổng thống Kamala Harris đã tuyên bố rằng blockchain, AI và các công nghệ mới nổi khác sẽ là một phần quan trọng trong chính quyền của bà nếu được bầu làm tổng thống vào...
Bài viết cập nhật về chính sách mới của Trung Quốc đối với tiền số gồm: * Trung Quốc đang xem xét cho phép thành sàn giao dịch tài sản số trong khi tiếp tục siết chặt kiểm duyệt truyền thông về crypto. * Quan điểm của giới chức Ngân...
Marieke Flament - CEO mới của NEAR Foundation NEAR Foundation vui mừng thông báo rằng đã chọn giám đốc điều hành toàn cầu Marieke Flament làm CEO mới, quyết định có hiệu lực từ ngày 1 tháng 1 năm 2022. Vào tháng 10 năm 2021, NEAR đã công bố gói...