A complexidade e precisão desse ataque estavam além do que a maioria das pessoas poderia imaginar.
Os hackers norte-coreanos claramente entraram no próximo nível do cibercrime.
Kim Jong-un acordou e escolheu a violência.
————
No dia 16 de outubro, a Radiant Capital—um protocolo de empréstimo descentralizado cross-chain construído na LayerZero—foi hackeada.
Os fundos autorizados para contratos de projeto foram totalmente drenados, resultando em perdas de aproximadamente US$ 50 milhões. O incidente enviou ondas de choque pela comunidade.
O desenvolvedor notável @bantg comentou sobre o ataque, dizendo:
“esse nível de ataque é realmente assustador. até onde sei, os signatários comprometidos seguiram as melhores práticas. eles também usaram diferentes combinações de sistemas operacionais, software e carteiras de hardware, além de simular todas as transações.”
A Radiant Capital recentemente publicou um post-mortem detalhado em colaboração com a Mandiant e outras empresas de segurança (https://medium[.]com/@RadiantCapital/radiant-capital-incident-update-e56d8c23829e). O relatório liga fortemente o ataque a atores norte-coreanos.
>> Análise Passo a Passo do Ataque <<
> Passo 1: Falsificação
No dia 11 de setembro de 2024, um desenvolvedor da Radiant Capital recebeu uma mensagem no Telegram de alguém se passando por um contratante—um freelancer externo que havia trabalhado anteriormente com a empresa.
A mensagem parecia natural:
“Comecei a trabalhar na auditoria de contratos inteligentes e adoraria seu feedback sobre meu relatório de projeto.”
O "ex-contratante" até forneceu um arquivo zip contendo o chamado relatório, alegando que tinha insights detalhados e solicitando comentários.
Esse tipo de solicitação é bastante comum no espaço cripto, onde a colaboração remota e o compartilhamento de arquivos PDF são rotineiros. Para piorar a situação, os hackers usaram um nome de domínio que se assemelhava muito ao site pessoal do verdadeiro contratante, adicionando credibilidade à sua farsa.
Tudo isso levou o desenvolvedor a acreditar que a mensagem era legítima, sem reconhecer como um sofisticado ataque de phishing.
> Passo 2: Implantação de Malware
Quando o desenvolvedor baixou e extraiu o arquivo zip, o conteúdo parecia ser um documento PDF normal.
A abertura do arquivo exibiu um PDF bem elaborado, com conteúdo "profissional e detalhado".
Mas isso era apenas uma isca. O arquivo era na verdade um arquivo executável .app disfarçado de PDF, contendo um malware chamado INLETDRIFT.
Uma vez executado, o INLETDRIFT instalou uma porta dos fundos no dispositivo macOS do desenvolvedor e começou a se comunicar com o servidor dos hackers em atokyonews[.]com.
Se o desenvolvedor tivesse identificado o problema e agido imediatamente—executando varreduras de antivírus ou revogando permissões-chave—o dano poderia ter sido mitigado.
Infelizmente, o desenvolvedor compartilhou inconscientemente o arquivo com outros membros da equipe para feedback, espalhando o malware ainda mais e dando aos hackers um acesso mais amplo para infiltrações subsequentes.
> Passo 3: Ataque de Precisão
Após a implantação bem-sucedida do malware, os hackers executaram um ataque man-in-the-middle (MITM), aproveitando seu controle sobre dispositivos infectados para interceptar e manipular solicitações de transação.
Quando a equipe da Radiant Capital usou carteiras multisig Gnosis Safe (@safe), os hackers interceptaram os dados da transação exibidos na interface frontal.
Nas telas dos desenvolvedores, a transação parecia ser uma operação multisig legítima. Mas quando as solicitações chegaram às carteiras de hardware Ledger para assinatura, o malware as substituiu por instruções maliciosas.
Uma vez que as carteiras Ledger não analisam transações Gnosis Safe, os desenvolvedores assinaram cegamente as solicitações sem perceber que estavam realmente executando uma chamada transferOwnership(). Isso entregou o controle dos contratos dos pools de empréstimo da Radiant para os atacantes.
Com a posse garantida, os hackers exploraram os contratos para drenar os fundos autorizados pelos usuários para os pools de empréstimo.
Esse ataque de substituição de intermediário foi executado com precisão cirúrgica.Apesar da dependência da Radiant Capital em carteiras de hardware, ferramentas de simulação de transações como a Tenderly e a adesão a procedimentos operacionais padrão do setor, a equipe não conseguiu detectar nada suspeito.
Uma vez que o malware compromete um dispositivo, o sistema fica efetivamente sob o controle total do hacker, tornando até mesmo as melhores práticas ineficazes.
> Etapa 4: Saída Limpa
Em apenas 3 minutos após completar o roubo, os hackers eliminaram todos os vestígios de sua atividade. Eles removeram backdoors, extensões de navegador e outros artefatos de sistemas comprometidos para minimizar a exposição e reduzir a probabilidade de serem rastreados.
>> Lições Aprendidas <<
Este ataque envia um aviso claro para toda a indústria DeFi. Mesmo um projeto que segue as melhores práticas com carteiras de hardware, verificação de transações na interface e ferramentas de simulação não foi poupado. O incidente destaca várias questões-chave:
(1) Evite Baixar Arquivos: Use Documentos Online em vez Disso
Pare de baixar arquivos, especialmente de fontes não verificadas. Isso inclui arquivos zip, PDFs e executáveis.
Em vez disso, as equipes devem adotar ferramentas de colaboração em documentos online como Google Docs ou Notion para visualizar e editar conteúdo diretamente no navegador. Isso reduz significativamente o risco de infiltração de malware.
Por exemplo, o formulário de contratação da OneKey (https://gr4yl99ujhl.typeform[.]com/to/XhZ4wVcn?utm_source=official) exige explicitamente que as submissões sejam links do Google Docs (começando com docs[.]google[.]com). Nós nunca abrimos outros tipos de arquivos, incluindo currículos ou arquivos de portfólio.
A equipe da Radiant Capital claramente subestimou o risco de phishing por meio de malware. Membros com permissões sensíveis devem aprimorar a segurança dos dispositivos, instalar software antivírus e impor políticas de compartilhamento de arquivos mais rigorosas para mitigar esses riscos.
(2) A Segurança da Interface Frontal é Crítica
A maioria das verificações de transações depende fortemente de interfaces frontais, mas os hackers podem facilmente falsificar essas interfaces para apresentar dados de transações falsos. Ataques à cadeia de suprimentos que visam dependências, como o infame incidente da biblioteca Solana web3.js (https://t.co/QGnjawQOKw), são outra ameaça crescente.
(3) Os Riscos da Assinatura Cega
Muitas carteiras de hardware exibem apenas resumos básicos de transações, tornando impossível para os usuários verificar a integridade das transações.
A OneKey fez progressos significativos na abordagem da assinatura cega para transações de Permissão, e o suporte para transações multisig do Gnosis Safe também está em desenvolvimento.
(4) Fortalecer a Governança de Ativos DeFi
Os projetos DeFi devem implementar Timelocks e estruturas de governança robustas para operações críticas.
Ao introduzir atrasos de T+1 ou semelhantes, grandes transferências de fundos exigiriam um período de espera, proporcionando tempo suficiente para que as equipes de segurança e hackers éticos detectem anomalias, acionem alertas e tomem medidas. Os usuários também poderiam revogar aprovações durante essa janela para proteger seus ativos.
Comparado a acordar e descobrir que os fundos desapareceram, os Timelocks proporcionam o tempo de reação necessário, melhorando significativamente a segurança.
Vale a pena notar que os contratos da Radiant careciam de um mecanismo de revogação para transferências de propriedade. Os atacantes exploraram isso para atualizar os contratos e executar o roubo. Isso destaca a necessidade de um melhor design de contratos para prevenir tais vulnerabilidades.
————
Curta e compartilhe este post para aumentar a conscientização e contribuir para a segurança da blockchain :)