Radiant Capital von 50-Millionen-Dollar-Hack betroffen, der mit nordkoreanischer Malware in Verbindung steht

Das Verständnis des Radiant Capital Vorfalls: Eine Fallstudie in der Cybersicherheit

Die Welt der dezentralen Finanzen (DeFi) wurde kürzlich von einem bedeutenden Sicherheitsvorfall betroffen, der Radiant Capital betrifft. Im Oktober wurde ein Vorfall im Umfang von 50 Millionen Dollar bekannt, der Alarmglocken läuten ließ und auf Sicherheitsanfälligkeiten im Sektor hinwies. Dieser Artikel geht auf die Einzelheiten des Vorfalls, seine Auswirkungen und die Lehren, die daraus gezogen werden können, ein.

Was ist passiert?

Laut Cointelegraph wurde der Vorfall mithilfe von Malware ausgeführt, die über eine scheinbar harmlose Nachricht auf Telegram ausgeliefert wurde. Ein Hacker, der mit Nordkorea in Verbindung gebracht wird, gab sich als ehemaliger Auftragnehmer von Radiant Capital aus, was zu einem ausgeklügelten Cyberangriff führte.

Zeitplan des Angriffs

• 11. September: Ein Entwickler bei Radiant erhielt eine Telegram-Nachricht von einem vermeintlichen Ex-Auftragnehmer, der um Feedback zu einem neuen Projekt bat.
• 16. Oktober: Nachdem die Malware verbreitet wurde, musste Radiant seine Kreditmärkte sperren, als der Hacker Zugriff auf private Schlüssel und Smart Contracts erhielt.
• 24. Oktober: Ungefähr 52 Millionen Dollar der gestohlenen Gelder wurden von den Hackern bewegt.

Wie ereignete sich der Angriff?

Der erste Kontakt schien harmlos—eine Anfrage um Feedback zu einer Zip-Datei. Radiant vermutete, dass die Zip-Datei Malware enthielt, die, sobald sie unter den Entwicklern geteilt wurde, zur Installation von Schadsoftware führte. Das Problem wurde dadurch verschärft, dass die Domain, die mit der Zip-Datei verbunden war, der Website des legitimen Auftragnehmers sehr ähnlich war.

Identitätsmissbrauch und Social Engineering

Der Vorfall unterstreicht die Bedrohung durch Social Engineering. Die Anfrage nach der Datei erschien harmlos, da das Überprüfen und Teilen von PDFs eine gängige Praxis unter Fachleuten ist. Infolgedessen wurden mehrere Entwicklergeräte kompromittiert, ohne Verdacht zu erregen.

Die Realisierung einer Cyberbedrohung

Als sich der Angriff entfaltete, waren die Entwickler sich der tatsächlichen bösartigen Aktivitäten, die im Hintergrund stattfanden, nicht bewusst. Die Front-End-Schnittstellen zeigten normale Transaktionsdaten, während bösartige Transaktionen im Hintergrund verarbeitet wurden, was während routinemäßiger Überprüfungen und Validierungen unbemerkt blieb.

Identifizierung der Täter

Der Cybersicherheitspartner von Radiant Capital, Mandiant, schrieb den Angriff einem nordkoreanischen Bedrohungsakteur mit dem Namen "UNC4736" zu, der auch als "Citrine Sleet" bekannt ist. Diese Gruppe wird vermutet, unter den Fittichen des Reconnaissance General Bureau (RGB) Nordkoreas zu operieren und ist möglicherweise eine Untergruppe der berüchtigten Lazarus-Gruppe.

Die breiteren Auswirkungen

Dieser Vorfall ist eine eindringliche Erinnerung an die ausgeklügelten Taktiken, die von nordkoreanischen Hackern angewendet werden, die Berichten zufolge seit 2017 rund 3 Milliarden Dollar an Krypto-Diebstählen angesammelt haben. Der Vorfall betont die Notwendigkeit stärkerer Cybersicherheitsmaßnahmen, insbesondere im DeFi-Sektor.

Vorwärts gehen: Gelerntes

Die Erfahrung von Radiant Capital betont die kritische Notwendigkeit verbesserter hardwarebasierter Lösungen, um Transaktionspayloads genau zu erkennen und zu validieren. Selbst bei strengen Betriebsverfahren, Hardware-Brieftaschen und Simulationstools besteht immer das Risiko, von fortgeschrittenen Bedrohungen umgangen zu werden.

Fazit

Der Vorfall bei Radiant Capital dient als warnendes Beispiel für alle DeFi-Plattformen und hebt Sicherheitsanfälligkeiten hervor, die angegangen werden müssen. Da sich die Landschaft der Kryptowährung weiterentwickelt, ist es für Unternehmen unerlässlich, wachsam und proaktiv bei der Verbesserung ihrer Cybersicherheitsprotokolle zu bleiben.