Radiant Capital: Nhóm hacker Triều Tiên là “tác giả” của vụ hack trị giá 50 triệu USD
Radiant Capital cho biết vụ hack trị giá 50 triệu USD vào nền tảng tài chính phi tập trung (DeFi) của họ vào tháng 10 được thực hiện qua phần mềm độc hại gửi qua Telegram từ một hacker liên kết với Triều Tiên, giả mạo là một cựu đối tác.
Radiant cập nhật trong bản tin ngày 6/12 về cuộc điều tra đang diễn ra, cho biết công ty an ninh mạng Mandiant mà họ hợp tác đã đánh giá “với độ tin cậy cao rằng cuộc tấn công này có thể được quy cho một tác nhân đe dọa có liên hệ với Cộng hòa Dân chủ Nhân dân Triều Tiên .”
🚨 Radiant Capital Incident Update 🚨
A detailed update on the October 16 incident is now available, with Mandiant’s ongoing investigation attributing the attack with high confidence to a Democratic People’s Republic of Korea (DPRK)-linked threat actor.
Nền tảng này cho biết một nhà phát triển của Radiant đã nhận được một tin nhắn Telegram có file nén từ một “đối tác đáng tin cậy” vào ngày 11/9, yêu cầu phản hồi về một dự án mới mà họ đang lên kế hoạch.
“Sau khi xem xét, tin nhắn này được nghi ngờ là xuất phát từ một tác nhân đe dọa có liên quan đến hacker Triều Tiên, giả mạo đối tác,” họ cho biết. “File ZIP này, khi được chia sẻ để nhận phản hồi từ các nhà phát triển khác, cuối cùng đã được một người tải phần mềm độc hại này về và tạo điều kiện cho vụ xâm nhập sau đó.”
Vào ngày 16/10, nền tảng DeFi đã phải tạm dừng các thị trường cho vay sau khi một hacker chiếm quyền kiểm soát các khóa riêng và hợp đồng thông minh của một số người ký. Các nhóm hacker Triều Tiên đã lâu nay nhắm mục tiêu vào các nền tảng crypto và đã đánh cắp 3 tỷ USD tiền mã hóa từ năm 2017 đến 2023.
Radiant cho biết file không gây nghi ngờ vì “yêu cầu xem xét PDF là chuyện thường thấy trong môi trường chuyên nghiệp,” và các nhà phát triển “thường xuyên chia sẻ tài liệu dưới dạng này.”
Tên miền liên kết với file ZIP cũng giả mạo trang web hợp pháp của đối tác.Nhiều thiết bị của các nhà phát triển Radiant đã bị xâm nhập trong cuộc tấn công, và các giao diện phía người dùng hiển thị dữ liệu giao dịch vô hại trong khi các giao dịch độc hại được ký ở chế độ nền.
“Các kiểm tra và mô phỏng truyền thống không cho thấy sự khác biệt rõ ràng, khiến mối đe dọa gần như vô hình trong các giai đoạn kiểm tra thông thường,” báo cáo cho biết.
“Cuộc tấn công này được thực hiện một cách liền mạch đến mức, ngay cả với các quy trình bảo mật tiêu chuẩn của Radiant như mô phỏng giao dịch trên Tenderly, xác minh dữ liệu payload, và tuân thủ SOP (Quy trình vận hành tiêu chuẩn) theo tiêu chuẩn ngành ở mọi bước, các kẻ tấn công vẫn có thể xâm nhập nhiều thiết bị của nhà phát triển,” Radiant viết.
Ví dụ về một file PDF mồi nhử có thể được sử dụng bởi một nhóm hacker độc hại. Nguồn: Radiant Capital.
Radiant Capital cho rằng kẻ chịu trách nhiệm cho vụ tấn công được biết đến với tên “UNC4736,” còn được gọi là “Citrine Sleet” — được cho là liên kết với cơ quan tình báo chính của Triều Tiên, Cục Trinh sát (RGB), và được suy đoán là một nhánh con của tập đoàn hacker Lazarus Group.
Các hacker đã chuyển khoảng 52 triệu USD từ số tiền bị đánh cắp trong sự cố này vào ngày 24/10.
“Sự cố này cho thấy ngay cả các SOP nghiêm ngặt, ví cứng, công cụ mô phỏng như Tenderly và việc xem xét kỹ lưỡng của con người cũng có thể bị vượt qua bởi các tác nhân đe dọa có trình độ cao,” Radiant Capital viết trong bản cập nhật.
“Việc phụ thuộc vào ký mù và xác minh từ giao diện người dùng, vốn có thể bị giả mạo, đòi hỏi sự phát triển các giải pháp cấp phần cứng mạnh mẽ hơn để giải mã và xác thực dữ liệu giao dịch,” bản cập nhật bổ sung.
Đây không phải lần đầu tiên Radiant bị tấn công trong năm nay. Nền tảng này đã phải dừng các thị trường cho vay vào tháng 1 sau một cuộc tấn công flash loan trị giá 4,5 triệu USD.
Sau hai vụ tấn công trong năm nay, tổng giá trị tài sản khóa (TVL) của Radiant đã giảm mạnh, từ hơn 300 triệu USD vào cuối năm ngoái xuống còn khoảng 5,81 triệu USD tính đến ngày 9/12, theo DefiLlama. Sự cố nghiêm trọng này xảy ra trong bối cảnh FBI đã cảnh báo về các hacker Triều Tiên đang tăng cường hoạt động trong thị trường uptrend.
Tornado bị Bộ tài chính Hoa Kỳ trừng phạt Tornado Cash là gì? Tornado là một giao thức “trộn” giao dịch nhằm xóa dấu vết giao dịch trước đó của tài sản để tăng tính riêng tư. Nó vô tình trở thành trung tâm rửa tiền của một số vụ...
Polygon có thể mất hơn 300 triệu USD khi Aave bỏ phiếu rời khỏi blockchain layer 2 này Polygon đang đứng trước nguy cơ mất hơn 300 triệu USD TVL (tổng giá trị bị khóa) khi cộng đồng điều hành Aave, một giao thức thanh khoản phổ biến, dường như...
Tác động của MiCA đối với USDT và bối cảnh tiền mã hóa tại châu Âu Quy định Markets in Crypto-Assets (MiCA) của Liên minh Châu Âu (EU) chính thức có hiệu lực từ thứ Hai, đánh dấu một bước ngoặt quan trọng trong cách tiếp cận giám sát tiền...
Dựa theo nguồn tin từ tổ chức quản lý tài sản kỹ thuật số hàng đầu thế giới CoinShares, dòng tiền đổ vào các sản phẩm đầu tư của tổ chức có trụ sở tại Algorand đã đạt mức cao kỷ lục mới là 20 triệu đô vào tuần trước....
Tổng thống El Salvador "khoe lãi" hơn 300 triệu USD trữ lượng Bitcoin quốc gia Tổng thống El Salvador, Nayib Bukele, đã “khoe” lợi nhuận chưa thực hiện từ các khoản đầu tư Bitcoin của đất nước trên mạng xã hội sau khi giá Bitcoin vượt mốc 100,000 USD lần...
De Nederlandsche Bank, ngân hàng Trung ương Hà Lan đã đưa ra cảnh báo cho Binance Holdings Limited và các đơn vị cung cấp dịch vụ tiền mã hóa cho cư dân địa phương. Hôm thứ tư vừa qua, De Nederlandsche Bank – ngân hàng Trung ương Hà Lan cho...
Trong tuần 48, 2021 (Từ ngày 21/11/2021 đến ngày 28/11/2021), dựa trên dữ liệu On-chain, thị trường crypto vẫn tiếp tục giảm mặc dù các nhà đầu tư ngắn hạn và cả dài hạn đều nắm giữ một lượng cung lớn hơn so với đợt điều chỉnh vào tháng 9...
Cover Protocol tuyên bố ngừng hoạt động Theo kênh Twitter chính thức của dự án, do mâu thuẫn nội bộ, giao thức Cover Protocol (COVER) và dự án Ruler Protocol (RULER) đã chính thức ngừng hoạt động vĩnh viễn. Theo thông tin từ nhà đồng sáng lập dự án, Cover...