נקודות מרכזיות
- מתקפת סייבר מתוחכמת שיוחסה להאקרים מצפון קוריאה פגעה ב-Radiant Capital באמצעות קובץ PDF זדוני, מה שהוביל לגניבה של 50 מיליון דולר, זאת למרות נהלי אבטחה קפדניים שהיו במקום.
- המתקפה כללה תכנות זדוניות של INLETDRIFT ובוצעה על ידי UNC4736 (AppleJeus/Citrine Sleet), קבוצה המקושרת ללשכת הסיור הכללי של צפון קוריאה, מה שמדגיש את האיומים הגוברים על פלטפורמות DeFi.
פרצת הנדסה חברתית מובילה לפגיעה משמעותית באבטחה
המתקפה החלה ב-11 בספטמבר 2024, כאשר התוקפים התחזו לקבלן לשעבר דרך אפליקציית טלגרם, ושלחו קובץ ZIP זדוני שהוסווה כמסמך PDF לגיטימי לבדיקה. ההונאה המתוחכמת כללה דומיין מזויף שתאם לאתר של הקבלן, מה שסייע לעקוף חשדות ראשוניים מצד צוות הפיתוח.
פריסה והפעלה מתקדמת של תוכנות זדוניות
התוקפים השתמשו ב-INLETDRIFT, תוכנות זדוניות מתוחכמות שהוסתרו בתוך הקובץ "Penpie_Hacking_Analysis_Report.zip". התוכנות הזדוניות יצרו דלת אחורית עמידה במערכת macOS תוך שהן מציגות קובץ PDF שנראה לגיטימי, ותקשרו עם שרת פיקוד ושליטה דרך הדומיין atokyonews[.]com. המתקפה הגיעה לשיאה ב-16 באוקטובר, כאשר התוקפים פרסו באופן אסטרטגי חוזים חכמים זדוניים על פני מספר בלוקצ'יינים, כולל Arbitrum, Binance Smart Chain, Base ו-Ethereum.
השלכות אבטחה על כלל התעשייה
תקרית זו חשפה פגיעויות קריטיות בפרקטיקות האבטחה הנוכחיות בתחום ה-DeFi. גם עם שימוש בארנקים פיזיים, כלי סימולציה ותהליכי בדיקה אנושיים מעמיקים, תוקפים מתוחכמים הצליחו לעקוף את אמצעי ההגנה הללו. החוויה של Radiant Capital מדגישה את הצורך הדחוף של תעשיית ה-DeFi לפתח פתרונות חזקים יותר ברמת החומרה לאימות עסקאות ולאימות עומסי נתונים.
בתגובה למתקפה, Radiant Capital שיתפה פעולה עם מספר חברות אבטחה, כולל Mandiant, zeroShadow ו-Hypernative, לצורך חקירה ומאמצי השבת נכסים. הארגון ממשיך לעבוד בשיתוף פעולה הדוק עם סוכנויות אכיפת החוק בארה"ב, תוך שמירה על מחויבותו לשתף את ממצאיו במטרה לחזק את סטנדרטי האבטחה בתעשייה כולה.
