5000萬美元Radiant Capital駭客攻擊事件追蹤至北韓網絡犯罪分子

2024 年 10 月 16 日，基於 LayerZero 構建的去中心化跨鏈借貸協定 Radiant Capital 成為高度複雜的網路攻擊的受害者，造成了驚人的 5000 萬美元損失。

此後，該攻擊與朝鮮駭客有關，這標誌著針對去中心化金融 （DeFi） 的網路犯罪浪潮又一個令人擔憂的篇章。

報告將北韓行為者與 Radiant Capital 事件聯繫起來

Coinbase 支援的加密硬體錢包製造商 OneKey 的一份 報告 將這次攻擊歸咎於北韓駭客。該報告擴展自 Radiant Capital 最近分享的一篇 Medium 帖子 ，該帖子提供了 10 月 16 日攻擊的事件更新。

據報導，領先的網路安全公司 Mandiant 進一步將此次洩露事件與 UNC4736 聯繫起來， 是一個與北韓結盟的組織，也被稱為 AppleJeus 或 Citrine Sleet。該組織在北韓的主要情報機構偵察總局 （RGB） 下運作。

Mandiant 的調查顯示，攻擊者精心策劃了他們的行動。他們在多個區塊鏈網路上暫存了惡意智能合約，包括 Arbitrum、Binance Smart Chain、Base 和 Ethereum。這些努力反映了北韓支持的威脅行為者在針對 DeFi 領域的高級能力。

此次洩露始於 2024 年 9 月 11 日的一次精心策劃的網路釣魚攻擊。Radiant Capital 的一名開發人員收到了一條來自冒充受信任承包商的個人的 Telegram 消息。該消息包括一個據稱包含智慧合約審計報告的 zip 檔。這個名為“Penpie_Hacking_Analysis_Report.zip”的檔帶有稱為 INLETDRIFT 的惡意軟體，這是一種 macOS 後門程式，有助於未經授權訪問 Radiant 的系統。

當開發人員打開檔時，它似乎包含合法的 PDF。然而，該惡意軟體悄無聲息地自行安裝，建立了與 atokyonews 的惡意域的後門連接[.]com 的。這使得攻擊者能夠在 Radiant 的團隊成員中進一步傳播惡意軟體，從而更深入地訪問敏感系統。

駭客的策略以中間人 （MITM） 攻擊告終。通過利用受感染的設備，他們攔截並操縱了 Radiant 的 Gnosis Safe 多重簽名錢包中的交易請求。雖然交易對開發人員來說似乎是合法的，但惡意軟體秘密地改變了它們以執行轉移擁有權調用，從而奪取了 Radiant 借貸池合同的控制權。

搶劫案的執行、行業影響和經驗教訓

儘管 Radiant 遵守最佳實踐，例如使用硬體錢包、交易類比和驗證工具，但攻擊者的方法繞過了所有防禦措施。在獲得擁有權的幾分鐘內，駭客從 Radiant 的 借貸池中抽走了資金，讓平臺及其使用者陷入困境。

Radiant Capital 駭客攻擊是對 DeFi 行業的嚴厲警告。即使是遵守嚴格安全標準的專案也可能成為老練的威脅行為者的犧牲品。該事件凸顯了關鍵漏洞，包括：

• 網路釣魚風險：攻擊始於一個令人信服的冒充計劃，強調需要提高警惕，防止未經請求的文件共用。
• 盲簽名：雖然硬體錢包是必不可少的，但通常只顯示基本的交易細節，使用戶難以檢測到惡意修改。需要改進的硬體級解決方案來解碼和驗證交易有效負載。
• 前端安全性：事實證明，依賴前埠進行交易驗證是不夠的。欺騙性介面使駭客能夠在不被發現的情況下操縱交易數據。
• 治理弱點：由於缺乏撤銷擁有權轉讓的機制，Radiant 的合約容易受到攻擊。實施時間鎖定或要求延遲資金轉帳可能會在未來事件中提供關鍵的反應時間。

為了應對此次洩露事件，Radiant Capital 已與領先的網路安全公司合作，包括 Mandiant、zeroShadow 和 Hypernative。這些公司協助調查和資產追回。Radiant DAO 還與美國執法部門合作，追蹤和凍結被盜資金。

在 Medium 帖子中，Radiant 還重申了其致力於分享經驗教訓並增強整個 DeFi 行業的安全性的承諾。DAO 強調了採用強大的治理框架、加強設備級安全性以及擺脫盲簽名等風險做法的重要性。

“看起來事情可能在第 1 步就停止了，”X 上的一位用戶 評論道。

Radiant Capital 事件與最近的一份報告一致，該報告表明 朝鮮駭客如何繼續改變策略。隨著網路犯罪分子變得越來越老練，該行業必須通過優先考慮透明度、強大的安全措施和協作努力來應對此類攻擊。