Как опытный исследователь, внимательно наблюдающий за угрозами кибербезопасности, я не могу не испытывать чувства дежавю, когда читаю об еще одном громком взломе в сфере DeFi. Тот факт, что северокорейские хакерские группы постоянно совершенствуют свою тактику и инструменты для атак на криптовалютные платформы, вызывает, по меньшей мере, беспокойство.
Radiant Capital объявила, что кибератака стоимостью 50 миллионов долларов на их платформу DeFi, произошедшая в октябре, была инициирована вредоносным ПО, распространяемым через Telegram. Предполагается, что атаку организовал хакер, связанный с Северной Кореей, который замаскировался под бывшего сотрудника компании.
В сообщении от 6 декабря о продолжающемся расследовании компания Radiant заявила, что нанятая ими компания по кибербезопасности Mandiant с твердым убеждением пришла к выводу, что происхождение этой атаки можно проследить до группы киберугроз, связанной с Северной Кореей.
11 сентября платформа сообщила, что разработчик Radiant получил zip-файл через Telegram от «надежного бывшего сотрудника», который хотел получить информацию о новом проекте, над которым они приступили.
После изучения сообщения выяснилось, что оно могло быть отправлено хакером, связанным с Северной Кореей, выдававшим себя за предыдущего подрядчика», — отмечается в сообщении. «Поделившись этим ZIP-файлом с другими программистами для обратной связи, он по незнанию распространил вредоносное ПО, которое позволило в будущем кибератаки.
1) 16 октября платформа DeFi временно остановила свои рынки кредитования из-за того, что хакер завладел личными ключами и смарт-контрактами нескольких подписантов.
12 ноября были обнаружены северокорейские кибергруппировки, нацеленные на пользователей macOS посредством новой вредоносной кампании, в которой использовались фишинговые электронные письма, поддельные PDF-приложения и методы обхода мер безопасности Apple.
В октябре также было обнаружено, что северокорейские хакеры использовали уязвимость в Google Chrome для кражи учетных данных криптовалютного кошелька.
В Radiant пояснили, что этот файл не вызывает никаких дополнительных опасений, поскольку PDF-файлы обычно просматриваются профессионалами, а разработчики часто обмениваются такими документами.
Домен, связанный с ZIP-файлом, также подделывал законный веб-сайт подрядчика.
В ходе кибератаки были взломаны несколько устройств разработки, используемых разработчиками Radiant. На первый взгляд внешний интерфейс показывал безобидные детали транзакций, но тайно вредоносные транзакции аутентифицировались в фоновом режиме.
Оригинал: «Традиционные проверки и моделирование не выявили явных несоответствий, что делает угрозу необнаружимой во время обычных периодов оценки.
В Radiant заявили, что обман был выполнен настолько безупречно, что даже с учетом наших обычных мер предосторожности, таких как моделирование транзакций в Tenderly, проверка данных полезной нагрузки и соблюдение стандартных процедур на каждом этапе, злоумышленникам все же удалось взломать несколько устройств разработчиков.
Radiant Capital подозревает, что виновником атаки является «UNC4736», также известный как «Citrine Sleet». По слухам, эта группа имеет связи с главным разведывательным агентством Северной Кореи, Генеральным разведывательным управлением (RGB), и считается подгруппой хакерской группы, известной как Lazarus Group.
Хакеры перевезли около 52 миллионов долларов из украденных в результате инцидента 24 октября средств.
Это событие показывает, что изощренные злоумышленники могут обходить строгие процедуры, защищать аппаратные кошельки, такие инструменты, как Tenderly для моделирования, и тщательную человеческую оценку. Как заявила Radiant Capital в своем недавнем отчете.
Потребность в непроверенных подписях и проверках на уровне пользовательского интерфейса, которыми можно манипулировать, предполагает создание более надежных аппаратных методов расшифровки и аутентификации данных транзакций, отметили они.
Как аналитик, я должен признать, что это не первый раз, когда Radiant сталкивается с нарушением безопасности в этом году. В январе платформе пришлось временно приостановить работу рынков кредитования из-за эксплойта с быстрым кредитом на сумму 4,5 миллиона долларов.
Как исследователь, я заметил существенное снижение общего заблокированного значения (TVL) Radiant после двух эксплойтов этого года. По состоянию на конец прошлого года TVL составлял более 300 миллионов долларов, но по состоянию на 9 декабря он упал примерно до 5,81 миллиона долларов, как сообщает DefiLlama.
Смотрите также
- Что будет с Ethena: прогнозы цен на криптовалюту ENA
- Прогноз курса доллара к злотому на 2025
- Что будет с Dymension: прогнозы цен на криптовалюту DYM
- Акции Лента прогноз. Цена акций LENT
- Что будет с эфириумом: прогнозы цен на криптовалюту ETH
- Вы не поверите, сколько будут стоить токены AI в 2025 году!
- Акции Кристалл прогноз. Цена акций KLVZ
- Что будет с биткоином: прогнозы цен на криптовалюту BTC
- Прогноз курса доллара к турецкой лире на 2025
- Что будет с Official Trump: прогнозы цен на криптовалюту TRUMP
2024-12-09 05:30