Em 16 de outubro de 2024, a Radiant Capital, um protocolo de empréstimo descentralizado cross-chain construído na LayerZero, foi vítima de um ciberataque altamente sofisticado que resultou em uma perda impressionante de US$ 50 milhões.
O ataque foi vinculado a hackers norte-coreanos, marcando outro capítulo alarmante na crescente onda de crimes cibernéticos que visam as finanças descentralizadas (DeFi).
Relatório liga norte-coreanos ao incidente da Radiant Capital
Um relatório da OneKey, uma fabricante de carteiras de hardware cripto apoiada pela Coinbase, atribuiu o ataque a hackers norte-coreanos. O relatório se baseia em um post recente no Medium compartilhado pela Radiant Capital, que forneceu uma atualização sobre o incidente de 16 de outubro.
Além disso, supostamente, a Mandiant, uma empresa líder em cibersegurança, também vinculou a violação ao grupo UNC4736, alinhado à DPRK, também conhecido como AppleJeus ou Citrine Sleet. Este grupo opera sob o Bureau Geral de Reconhecimento (RGB), a principal agência de inteligência da Coreia do Norte.
A investigação da Mandiant revelou que os atacantes planejaram meticulosamente sua operação. Eles implantaram contratos inteligentes maliciosos em várias redes blockchain, incluindo Arbitrum, Binance Smart Chain, Base e Ethereum. Esses esforços refletem as capacidades avançadas de ameaça apoiados pela DPRK em atacar o setor DeFi.
Phishing sofisticado iniciou ataque à Radiant Capital
A violação começou com um ataque de phishing em 11 de setembro de 2024. Um desenvolvedor da Radiant Capital recebeu uma mensagem no Telegram de um indivíduo se passando por um contratado de confiança. Contudo, a mensagem incluía um arquivo zip supostamente contendo um relatório de auditoria de contrato inteligente. Este arquivo, “Penpie_Hacking_Analysis_Report.zip,” estava infectado com um malware conhecido como INLETDRIFT, um backdoor para macOS que facilitou o acesso não autorizado aos sistemas da Radiant.
Quando o desenvolvedor abriu o arquivo, ele parecia conter um PDF legítimo. No entanto, o malware se instalou silenciosamente, estabelecendo uma conexão de backdoor com um domínio malicioso em atokyonews. Isso permitiu que os atacantes espalhassem o malware entre os membros da equipe da Radiant, obtendo acesso mais profundo a sistemas sensíveis.
A estratégia dos hackers culminou em um ataque man-in-the-middle (MITM). Ao explorar dispositivos comprometidos, eles interceptaram e manipularam solicitações de transações dentro das carteiras Multisig Gnosis Safe da Radiant. Enquanto as transações pareciam legítimas para os desenvolvedores, o malware as alterava secretamente para executar uma chamada de transferência de propriedade, assumindo o controle dos contratos de pool de empréstimos da Radiant.
Execução do roubo, implicações para a indústria e lições aprendidas
Contudo, apesar da adesão da Radiant às melhores práticas, como o uso de carteiras de hardware, simulações de transações e ferramentas de verificação, os métodos dos atacantes contornaram todas as defesas. Em minutos após garantir a propriedade, os hackers esvaziaram fundos dos pools de empréstimos da Radiant, deixando a plataforma e os usuários abalados.
O hack da Radiant Capital serve como um alerta para a indústria DeFi. Mesmo projetos que seguem padrões rigorosos de segurança podem ser vítimas de atores de ameaça sofisticados. O incidente destacou vulnerabilidades críticas, incluindo:
- Riscos de Phishing: O ataque começou com um esquema de personificação convincente, enfatizando a necessidade de maior vigilância contra compartilhamento de arquivos não solicitados.
- Assinatura Cega: Embora essenciais, as carteiras de hardware geralmente exibem apenas detalhes básicos da transação, dificultando a detecção de modificações maliciosas pelos usuários. Soluções aprimoradas ao nível de hardware são necessárias para decodificar e validar cargas de transação.
- Segurança de Front-End: A dependência de interfaces de front-end para verificação de transações se mostrou inadequada. Interfaces falsificadas permitiram que hackers manipulassem dados de transações sem serem detectados.
- Fraquezas de Governança: A ausência de mecanismos para revogar transferências de propriedade deixou os contratos da Radiant vulneráveis. Implementar bloqueios de tempo ou exigir transferências de fundos atrasadas poderia fornecer tempo de reação crítico em incidentes futuros.
Radiant Capital reforça segurança e colabora com autoridades após ataque hacker
Em resposta à violação, a Radiant Capital contratou empresas líderes em cibersegurança, incluindo Mandiant, zeroShadow e Hypernative. Além disso, essas empresas auxiliam na investigação e recuperação de ativos. A Radiant DAO também está colaborando com as autoridades dos EUA para rastrear e congelar os fundos roubados.
Além disso, no post no Medium, a Radiant também reafirmou seu compromisso em compartilhar lições aprendidas e melhorar a segurança em toda a indústria DeFi. A DAO enfatizou a importância de adotar estruturas de governança fortes, fortalecer a segurança ao nível de dispositivo e abandonar práticas arriscadas como a assinatura cega.
Parece que as coisas poderiam ter parado no passo 1, comentou um usuário no X.
O incidente da Radiant Capital está alinhado com um relatório recente, que indicou como hackers norte-coreanos continuam a mudar de tática. No entanto, à medida que os cibercriminosos se tornam mais sofisticados, a indústria deve se adaptar, priorizando transparência, medidas de segurança fortes e esforços colaborativos para combater tais ataques.
Isenção de responsabilidade
Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.
