Radiant Capital: Nhóm hacker Triều Tiên là “tác giả” của vụ hack trị giá 50 triệu USD
Radiant Capital cho biết vụ hack trị giá 50 triệu USD vào nền tảng tài chính phi tập trung (DeFi) của họ vào tháng 10 được thực hiện qua phần mềm độc hại gửi qua Telegram từ một hacker liên kết với Triều Tiên, giả mạo là một cựu đối tác.
Radiant cập nhật trong bản tin ngày 6/12 về cuộc điều tra đang diễn ra, cho biết công ty an ninh mạng Mandiant mà họ hợp tác đã đánh giá “với độ tin cậy cao rằng cuộc tấn công này có thể được quy cho một tác nhân đe dọa có liên hệ với Cộng hòa Dân chủ Nhân dân Triều Tiên .”
🚨 Radiant Capital Incident Update 🚨
A detailed update on the October 16 incident is now available, with Mandiant’s ongoing investigation attributing the attack with high confidence to a Democratic People’s Republic of Korea (DPRK)-linked threat actor.
Nền tảng này cho biết một nhà phát triển của Radiant đã nhận được một tin nhắn Telegram có file nén từ một “đối tác đáng tin cậy” vào ngày 11/9, yêu cầu phản hồi về một dự án mới mà họ đang lên kế hoạch.
“Sau khi xem xét, tin nhắn này được nghi ngờ là xuất phát từ một tác nhân đe dọa có liên quan đến hacker Triều Tiên, giả mạo đối tác,” họ cho biết. “File ZIP này, khi được chia sẻ để nhận phản hồi từ các nhà phát triển khác, cuối cùng đã được một người tải phần mềm độc hại này về và tạo điều kiện cho vụ xâm nhập sau đó.”
Vào ngày 16/10, nền tảng DeFi đã phải tạm dừng các thị trường cho vay sau khi một hacker chiếm quyền kiểm soát các khóa riêng và hợp đồng thông minh của một số người ký. Các nhóm hacker Triều Tiên đã lâu nay nhắm mục tiêu vào các nền tảng crypto và đã đánh cắp 3 tỷ USD tiền mã hóa từ năm 2017 đến 2023.
Radiant cho biết file không gây nghi ngờ vì “yêu cầu xem xét PDF là chuyện thường thấy trong môi trường chuyên nghiệp,” và các nhà phát triển “thường xuyên chia sẻ tài liệu dưới dạng này.”
Tên miền liên kết với file ZIP cũng giả mạo trang web hợp pháp của đối tác.Nhiều thiết bị của các nhà phát triển Radiant đã bị xâm nhập trong cuộc tấn công, và các giao diện phía người dùng hiển thị dữ liệu giao dịch vô hại trong khi các giao dịch độc hại được ký ở chế độ nền.
“Các kiểm tra và mô phỏng truyền thống không cho thấy sự khác biệt rõ ràng, khiến mối đe dọa gần như vô hình trong các giai đoạn kiểm tra thông thường,” báo cáo cho biết.
“Cuộc tấn công này được thực hiện một cách liền mạch đến mức, ngay cả với các quy trình bảo mật tiêu chuẩn của Radiant như mô phỏng giao dịch trên Tenderly, xác minh dữ liệu payload, và tuân thủ SOP (Quy trình vận hành tiêu chuẩn) theo tiêu chuẩn ngành ở mọi bước, các kẻ tấn công vẫn có thể xâm nhập nhiều thiết bị của nhà phát triển,” Radiant viết.
Ví dụ về một file PDF mồi nhử có thể được sử dụng bởi một nhóm hacker độc hại. Nguồn: Radiant Capital.
Radiant Capital cho rằng kẻ chịu trách nhiệm cho vụ tấn công được biết đến với tên “UNC4736,” còn được gọi là “Citrine Sleet” — được cho là liên kết với cơ quan tình báo chính của Triều Tiên, Cục Trinh sát (RGB), và được suy đoán là một nhánh con của tập đoàn hacker Lazarus Group.
Các hacker đã chuyển khoảng 52 triệu USD từ số tiền bị đánh cắp trong sự cố này vào ngày 24/10.
“Sự cố này cho thấy ngay cả các SOP nghiêm ngặt, ví cứng, công cụ mô phỏng như Tenderly và việc xem xét kỹ lưỡng của con người cũng có thể bị vượt qua bởi các tác nhân đe dọa có trình độ cao,” Radiant Capital viết trong bản cập nhật.
“Việc phụ thuộc vào ký mù và xác minh từ giao diện người dùng, vốn có thể bị giả mạo, đòi hỏi sự phát triển các giải pháp cấp phần cứng mạnh mẽ hơn để giải mã và xác thực dữ liệu giao dịch,” bản cập nhật bổ sung.
Đây không phải lần đầu tiên Radiant bị tấn công trong năm nay. Nền tảng này đã phải dừng các thị trường cho vay vào tháng 1 sau một cuộc tấn công flash loan trị giá 4,5 triệu USD.
Sau hai vụ tấn công trong năm nay, tổng giá trị tài sản khóa (TVL) của Radiant đã giảm mạnh, từ hơn 300 triệu USD vào cuối năm ngoái xuống còn khoảng 5,81 triệu USD tính đến ngày 9/12, theo DefiLlama. Sự cố nghiêm trọng này xảy ra trong bối cảnh FBI đã cảnh báo về các hacker Triều Tiên đang tăng cường hoạt động trong thị trường uptrend.
SushiSwap công bố lộ trình mới để cạnh tranh với các sàn giao dịch phi tập trung Sàn giao dịch phi tập trung SushiSwap vừa công bố lộ trình mới, cam kết cho phép người dùng “Swap mọi thứ” từ NFT đến các đồng coin trên hơn 35 chuỗi. Lộ...
Dù chưa hết năm 2024 nhưng Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) đã áp đặt gần 4,7 tỷ đô tiền phạt đối với ngành công nghiệp crypto, tăng vọt 3.000% so với năm trước. Số tiền này chủ yếu đến từ vụ việc của Terraform Labs...
Tổng vốn hóa stablecoin vựt mức cao kỷ lục 200 tỷ USD, dòng tiền quay trở lại DeFi? Tổng vốn hóa thị trường của stablecoin đã đạt mức cao kỷ lục, vượt qua 200 tỷ USD — tăng 13% so với tháng trước — theo dữ liệu từ CoinGecko. Tương...
Pump.fun chịu trách nhiệm cho 70% các đợt phát hành token trên mạng lưới Solana Trong hai ngày qua, nền tảng phát hành token Pump.fun đã chiếm tới khoảng 70% tổng số giao dịch trên mạng lưới Solana. Đây là mức thống trị cao nhất kể từ khi nền tảng...
Tổng quan Solayer là giao thức restaking trên Solana tương tự như Eigenlayer, tận dụng nền kinh tế crypto để bảo mật các giao thức trên Solana cũng như tạo thanh khoản cho lớp tài sản staking của người dùng. Về cơ bản, Solayer có 2 sản phẩm chính đó...
Grayscale Investments ra mắt hai quỹ đầu tư crypto mới nhằm mở rộng hệ sinh thái Ethereum Hôm nay, Grayscale Investments đã chính thức giới thiệu hai quỹ đầu tư mới: Quỹ Lido DAO và Quỹ Optimism, nhằm cung cấp cho các nhà đầu tư thể chế và được cấp...
Số tiền huy động thông qua vòng này của Everlend giúp dự án thúc đẩy quá trình phát triển và sự tăng trưởng chung của sản phẩm. Ngoài ra, một phần của quỹ sẽ được dành riêng cho Quỹ An toàn, một quỹ bảo hiểm sẽ được sử dụng để...
Lời khuyên của Michael Saylor về Bitcoin nhận chỉ trích gay gắt từ Vitalik và cộng đồng Người sáng lập MicroStrategy, Michael Saylor, đã đưa ra gợi ý rằng người dùng tiền mã hóa nên sử dụng các ngân hàng lớn để giữ Bitcoin, và điều này bị đồng sáng...