Capitalización Total del Mercado:$00
API
ES
Oscuro
Buscar SSI/Mag7/Meme/ETF/Moneda/Índice/Gráficos/Investigación
00:00 / 00:00
Ver
    Mercados
    Índexes
    Información
    TokenBar®
    Análisis
    Macro
    Lista
Comp
OneKeyHQ

La complejidad y precisión de este ataque estaban más allá de lo que la mayoría de las personas podría imaginar.

Los hackers norcoreanos claramente han alcanzado el siguiente nivel del cibercrimen.

Kim Jong-un se despertó y eligió la violencia.

————

El 16 de octubre, Radiant Capital—un protocolo de préstamos descentralizado cross-chain construido sobre LayerZero—fue hackeado.

Los fondos autorizados a los contratos del proyecto fueron completamente drenados, lo que resultó en pérdidas de aproximadamente 50 millones de dólares. El incidente envió ondas de choque a través de la comunidad.

El destacado desarrollador @bantg comentó sobre el ataque, diciendo:
“este nivel de ataque es realmente aterrador. hasta donde yo sé, los firmantes comprometidos han seguido las mejores prácticas. también usaron diferentes combinaciones de sistemas operativos, software y carteras de hardware, así como simularon cada transacción.”

Radiant Capital publicó recientemente un análisis post mortem detallado en colaboración con Mandiant y otras firmas de seguridad (https://medium[.]com/@RadiantCapital/radiant-capital-incident-update-e56d8c23829e). El informe vincula fuertemente el ataque con actores norcoreanos.

>> Desglose Paso a Paso del Ataque <<

> Paso 1: Suplantación

El 11 de septiembre de 2024, un desarrollador de Radiant Capital recibió un mensaje de Telegram de alguien que se hacía pasar por un contratista—un freelancer externo que había trabajado anteriormente con la empresa.

El mensaje parecía natural:
“He comenzado a trabajar en la auditoría de contratos inteligentes y me encantaría recibir tus comentarios sobre mi informe del proyecto.”

El "ex contratista" incluso proporcionó un archivo zip que contenía el supuesto informe, afirmando que tenía información detallada y solicitando comentarios.
Este tipo de solicitud es bastante común en el espacio cripto, donde la colaboración remota y el intercambio de archivos PDF son rutina. Para empeorar las cosas, los hackers utilizaron un nombre de dominio que se asemejaba mucho al sitio web personal del verdadero contratista, añadiendo credibilidad a su engaño.

Todo esto llevó al desarrollador a creer que el mensaje era legítimo, sin reconocerlo como un ataque de phishing sofisticado.

> Paso 2: Despliegue de Malware

Cuando el desarrollador descargó y extrajo el archivo zip, el contenido parecía ser un documento PDF normal.

Al abrir el archivo se mostraba un PDF bien elaborado, que parecía legítimo, con contenido "profesional y detallado".

Pero esto era solo un señuelo. El archivo era en realidad un archivo ejecutable .app disfrazado de PDF, que contenía un malware llamado INLETDRIFT.

Una vez ejecutado, INLETDRIFT instaló una puerta trasera en el dispositivo macOS del desarrollador y comenzó a comunicarse con el servidor de los hackers en atokyonews[.]com.

Si el desarrollador hubiera identificado el problema y actuado de inmediato—ejecutando análisis antivirus o revocando permisos clave—el daño podría haberse mitigado.

Desafortunadamente, el desarrollador compartió involuntariamente el archivo con otros miembros del equipo para recibir comentarios, propagando aún más el malware y dando a los hackers un acceso más amplio para infiltraciones posteriores.

> Paso 3: Ataque de Precisión

Después de que el malware fue desplegado con éxito, los hackers ejecutaron un ataque de hombre en el medio (MITM), aprovechando su control sobre los dispositivos infectados para interceptar y manipular las solicitudes de transacción.

Cuando el equipo de Radiant Capital utilizó carteras multisig de Gnosis Safe (@safe), los hackers interceptaron los datos de transacción mostrados en la interfaz frontal.

En las pantallas de los desarrolladores, la transacción parecía ser una operación multisig legítima. Pero cuando las solicitudes llegaron a las carteras de hardware Ledger para su firma, el malware las reemplazó con instrucciones maliciosas.

Dado que las carteras Ledger no procesan transacciones de Gnosis Safe, los desarrolladores firmaron ciegamente las solicitudes sin darse cuenta de que en realidad estaban ejecutando una llamada transferOwnership(). Esto entregó el control de los contratos de los fondos de préstamos de Radiant a los atacantes.

Con la propiedad asegurada, los hackers explotaron los contratos para drenar los fondos autorizados por los usuarios a los fondos de préstamos.

Este ataque de reemplazo de intermediario se ejecutó con una precisión milimétrica.A pesar de la dependencia de Radiant Capital en billeteras de hardware, herramientas de simulación de transacciones como Tenderly y la adherencia a procedimientos operativos estándar de la industria, el equipo no logró detectar nada sospechoso.

Una vez que el malware compromete un dispositivo, el sistema está efectivamente bajo el control total del hacker, lo que hace que incluso las mejores prácticas sean ineficaces.

> Paso 4: Salida Limpia

En solo 3 minutos después de completar el robo, los hackers eliminaron todas las huellas de su actividad. Eliminando puertas traseras, extensiones de navegador y otros artefactos de sistemas comprometidos para minimizar la exposición y reducir la probabilidad de ser rastreados.

>> Lecciones Aprendidas <<

Este ataque envía una advertencia contundente a toda la industria de DeFi. Incluso un proyecto que sigue las mejores prácticas con billeteras de hardware, verificación de transacciones en el front-end y herramientas de simulación no se salvó. El incidente destaca varios problemas clave:

(1) Evitar Descargar Archivos: Usar Documentos en Línea en su Lugar
Deje de descargar archivos, especialmente de fuentes no verificadas. Esto incluye archivos zip, PDFs y ejecutables.

En su lugar, los equipos deberían adoptar herramientas de colaboración de documentos en línea como Google Docs o Notion para ver y editar contenido directamente en el navegador. Esto reduce significativamente el riesgo de infiltración de malware.

Por ejemplo, el formulario de contratación de OneKey (https://gr4yl99ujhl.typeform[.]com/to/XhZ4wVcn?utm_source=official) requiere explícitamente que las presentaciones sean enlaces de Google Docs (que comienzan con docs[.]google[.]com). Nunca abrimos otros tipos de archivos, incluidos currículums o archivos de portafolio.

El equipo de Radiant Capital claramente subestimó el riesgo de phishing a través de malware. Los miembros con permisos sensibles deben mejorar la seguridad de los dispositivos, instalar software antivirus y hacer cumplir políticas de compartición de archivos más estrictas para mitigar estos riesgos.

(2) La Seguridad del Front-End es Crítica

La mayoría de las verificaciones de transacciones dependen en gran medida de las interfaces de front-end, pero los hackers pueden fácilmente falsificar estas para presentar datos de transacciones falsos. Los ataques a la cadena de suministro que apuntan a dependencias, como el infame incidente de la biblioteca Solana web3.js (https://t.co/QGnjawQOKw), son otra amenaza creciente.

(3) Los Riesgos de la Firma Ciega

Muchas billeteras de hardware solo muestran resúmenes básicos de transacciones, lo que hace imposible que los usuarios verifiquen la integridad de la transacción.

OneKey ha avanzado significativamente en abordar la firma ciega para transacciones de Permiso, y el soporte para transacciones multisig de Gnosis Safe también está en desarrollo.

(4) Fortalecer la Gobernanza de Activos DeFi

Los proyectos DeFi deberían implementar Timelocks y marcos de gobernanza robustos para operaciones críticas.

Al introducir retrasos de T+1 o similares, las grandes transferencias de fondos requerirían un período de espera, proporcionando suficiente tiempo para que los equipos de seguridad y hackers de sombrero blanco detecten anomalías, disparen alertas y tomen medidas. Los usuarios también podrían revocar aprobaciones durante esta ventana para proteger sus activos.

En comparación con despertarse y descubrir que los fondos han desaparecido, los Timelocks proporcionan el tiempo de reacción tan necesario, mejorando significativamente la seguridad.

Vale la pena señalar que los contratos de Radiant carecían de un mecanismo de revocación para las transferencias de propiedad. Los atacantes explotaron esto para actualizar los contratos y ejecutar el robo. Esto resalta la necesidad de un mejor diseño de contratos para prevenir tales vulnerabilidades.

————

Me gusta y comparte esta publicación para crear conciencia y contribuir a la seguridad blockchain :)

10s para entender el mercado crypto
Términospolítica de privacidadLibro BlancoVerificación oficialCookieBlog
sha512-gmb+mMXJiXiv+eWvJ2SAkPYdcx2jn05V/UFSemmQN07Xzi5pn0QhnS09TkRj2IZm/UnUmYV4tRTVwvHiHwY2BQ==
sha512-kYWj302xPe4RCV/dCeCy7bQu1jhBWhkeFeDJid4V8+5qSzhayXq80dsq8c+0s7YFQKiUUIWvHNzduvFJAPANWA==