キーポイント
- 北朝鮮のハッカーによる巧妙なサイバー攻撃により、ラディアント・キャピタルは悪意のあるPDFファイルを通じて不正アクセスを受け、厳格なセキュリティ・プロトコルが導入されていたにもかかわらず、5,000万ドルの盗難に遭った。
- この攻撃にはINLETDRIFTが関与していた。 マルウェア 北朝鮮の偵察総局とつながりのあるUNC4736(アップルジュース/シトリンみぞれ)によって実行され、DeFiプラットフォームへの脅威がエスカレートしていることを浮き彫りにした。
ソーシャル・エンジニアリングによる侵入でセキュリティに重大な問題が発生
攻撃は2024年9月11日に始まり、攻撃者はテレグラムを通じて元請負業者になりすまし、レビュー用の正規のPDF文書に偽装した悪意のあるZIPファイルを送信した。この巧妙な偽装には、請負業者のウェブサイトと一致するなりすましドメインが含まれており、開発チームからの最初の疑いを回避するのに役立った。
高度なマルウェアの展開と実行
攻撃者は、"Penpie_Hacking_Analysis_Report.zip "の中に隠された高度なマルウェアパッケージであるINLETDRIFTを利用しました。このマルウェアは、合法的に見えるPDFを表示しながら永続的なmacOSバックドアを確立し、ドメインatokyonews[.]comを通じてコマンド・アンド・コントロール・サーバーと通信した。この攻撃は10月16日の盗難で頂点に達し、攻撃者はArbitrum、Binance Smart Chain、Base、Ethereumを含む複数のブロックチェーンに悪意のあるスマートコントラクトを戦略的に配置した。
業界全体のセキュリティへの影響
この事件は、現在のDeFiのセキュリティ慣行における重大な脆弱性を露呈した。ハードウェア・ウォレット、シミュレーション・ツール、徹底的な人的検証プロセスを導入していたとしても、高度な攻撃者はこれらの安全策を回避することができた。ラディアント・キャピタルの経験は、DeFi業界がトランザクション検証とペイロード検証のための、より強固なハードウェアレベルのソリューションを開発することが急務であることを強調している。
今回の攻撃を受けて、ラディアント・キャピタルは、Mandiant社、zeroShadow社、Hypernative社を含む複数のセキュリティ会社と契約し、調査と資産回収に取り組んでいる。ラディアント・キャピタルは、業界全体のセキュリティ基準を強化するために調査結果を共有することに尽力しながら、米国の法執行機関と緊密に連携し続けている。
