Сложность и точность этой атаки превзошли все ожидания большинства людей.

Хакеры из Северной Кореи явно вышли на новый уровень киберпреступности.

Ким Чен Ын проснулся и выбрал насилие.

————

16 октября Radiant Capital — децентрализованный кросс-цепочный кредитный протокол, построенный на LayerZero — был взломан.

Средства, авторизованные для проектных контрактов, были полностью выведены, что привело к убыткам примерно в $50 миллионов. Этот инцидент произвел шок в сообществе.

Значимый разработчик @bantg прокомментировал атаку, сказав:
“такой уровень атаки действительно пугает. Насколько мне известно, скомпрометированные подписанты следовали лучшим практикам. Они также использовали разные комбинации ОС, программного обеспечения и аппаратных кошельков, а также симулировали каждую транзакцию.”

Radiant Capital недавно опубликовал подробный отчет о происшествии в сотрудничестве с Mandiant и другими охранными компаниями (https://medium[.]com/@RadiantCapital/radiant-capital-incident-update-e56d8c23829e). В отчете содержится уверенная связь атаки с северокорейскими актерами.

>> Пошаговый анализ атаки <<

> Шаг 1: Имитация

11 сентября 2024 года разработчик Radiant Capital получил сообщение в Telegram от человека, выдававшего себя за подрядчика — внешнего фрилансера, который ранее работал с компанией.

Сообщение выглядело естественным:
“Я начал работать над аудитом смарт-контрактов и хотел бы получить ваш отзыв о моем отчетном проекте.”

«Бывший подрядчик» даже предоставил zip-файл с так называемым отчетом, утверждая, что он содержит подробные сведения и запрашивая комментарии.
Такой запрос довольно распространен в криптопространстве, где удаленное сотрудничество и обмен PDF-файлами являются обычным делом. Чтобы усугубить ситуацию, хакеры использовали доменное имя, которое очень похоже на личный веб-сайт настоящего подрядчика, что добавляло правдоподобия их обману.

Все это заставило разработчика поверить, что сообщение законно, и он не распознал его как сложную фишинговую атаку.

> Шаг 2: Развертывание вредоносного ПО

Когда разработчик скачал и извлек zip-файл, его содержимое выглядело как обычный PDF-документ.

Открытие файла отображало хорошо оформленный, правдоподобный PDF с “профессиональным и детальным” содержанием.

Но это был всего лишь обман. Файл на самом деле представлял собой исполняемый файл .app, замаскированный под PDF, содержащий вредоносное ПО под названием INLETDRIFT.

После выполнения INLETDRIFT установил заднюю дверь на устройстве разработчика с macOS и начал связываться с сервером хакеров на atokyonews[.]com.

Если бы разработчик заметил проблему и действовал незамедлительно — например, запустив антивирусные сканирования или отозвав ключевые разрешения — ущерб мог быть минимизирован.

К сожалению, разработчик неосознанно поделился файлом с другими членами команды для получения отзывов, распространяя вредоносное ПО и предоставляя хакерам более широкий доступ для последующей инфильтрации.

> Шаг 3: Точная атака

После успешного развертывания вредоносного ПО хакеры провели атаку типа «человек посередине» (MITM), используя свой контроль над зараженными устройствами для перехвата и манипуляции запросами на транзакции.

Когда команда Radiant Capital использовала мультиподписные кошельки Gnosis Safe (@safe), хакеры перехватили данные транзакции, отображенные на интерфейсе.

На экранах разработчиков транзакция выглядела как законная операция с мультиподписью. Но когда запросы достигли аппаратных кошельков Ledger для подписи, вредоносное ПО заменило их на злонамеренные инструкции.

Поскольку кошельки Ledger не обрабатывают транзакции Gnosis Safe, разработчики слепо подписали запросы, не заметив, что на самом деле они выполняли вызов transferOwnership(). Это передало контроль над контрактами кредитных пулов Radiant хакерам.

Обеспечив себе владение, хакеры использовали контракты, чтобы вывести средства, авторизованные пользователями в кредитные пулы.

Эта атака с заменой посредника была выполнена с точностью до миллиметра.Несмотря на то, что Radiant Capital полагалась на аппаратные кошельки, инструменты для симуляции транзакций, такие как Tenderly, и соблюдала стандартные отраслевые процедуры, команде не удалось обнаружить ничего подозрительного.

Как только вредоносное ПО компрометирует устройство, система оказывается под полным контролем хакера, что делает даже лучшие практики неэффективными.

> Шаг 4: Чистый выход

Всего через 3 минуты после завершения кражи хакеры стерли все следы своей активности. Они удалили задние двери, расширения браузера и другие артефакты с компрометированных систем, чтобы минимизировать риск обнаружения и снизить вероятность отслеживания.

>> Извлеченные уроки <<

Эта атака является резким предупреждением для всей индустрии DeFi. Даже проект, следовавший лучшим практикам с аппаратными кошельками, проверкой транзакций на фронт-энде и инструментами симуляции, не был застрахован. Инцидент подчеркивает несколько ключевых вопросов:

(1) Избегайте загрузки файлов: используйте онлайн-документы вместо этого
Прекратите загрузку файлов, особенно из непроверенных источников. Это касается zip-файлов, PDF-документов и исполняемых файлов.

Вместо этого командам следует использовать инструменты для совместной работы с онлайн-документами, такие как Google Docs или Notion, для просмотра и редактирования контента непосредственно в браузере. Это значительно снижает риск проникновения вредоносного ПО.

Например, форма для найма OneKey (https://gr4yl99ujhl.typeform[.]com/to/XhZ4wVcn?utm_source=official) явно требует отправку в виде ссылок на Google Docs (начинающихся с docs[.]google[.]com). Мы никогда не открываем другие типы файлов, включая резюме или портфолио.

Команда Radiant Capital явно недооценила риск фишинга через вредоносное ПО. Члены с чувствительными правами должны улучшить безопасность устройств, установить антивирусное ПО и ужесточить политику совместного использования файлов, чтобы уменьшить эти риски.

(2) Безопасность фронт-энда имеет критическое значение

Большинство проверок транзакций сильно зависят от интерфейсов фронт-энда, но хакеры могут легко подделать их, чтобы представить ложные данные о транзакциях. Атаки на цепочку поставок, нацеленные на зависимости, такие как печально известный инцидент с библиотекой Solana web3.js (https://t.co/QGnjawQOKw), являются еще одной растущей угрозой.

(3) Риски слепой подписи

Многие аппаратные кошельки отображают только основные сводки транзакций, что делает невозможным для пользователей проверку целостности транзакции.

OneKey значительно продвинулся в решении проблемы слепой подписи для транзакций Permit, а поддержка многоподписных транзакций Gnosis Safe также находится в стадии разработки.

(4) Укрепление управления активами DeFi

Проектам DeFi следует внедрять таймлоки и надежные структуры управления для критических операций.

Внедрение задержек T+1 или аналогичных сделает большие переводы средств зависимыми от ожидания, предоставляя достаточное время для команд безопасности и белых хакеров для обнаружения аномалий, отправки оповещений и принятия мер. Пользователи также могут отменить одобрения в этот период, чтобы защитить свои активы.

По сравнению с тем, чтобы проснуться и обнаружить исчезновение средств, таймлоки предоставляют необходимое время для реакции, значительно улучшая безопасность.

Стоит отметить, что контракты Radiant не имели механизма отмены для передачи прав собственности. Нападающие использовали это для обновления контрактов и выполнения кражи. Это подчеркивает необходимость лучшего проектирования контрактов для предотвращения таких уязвимостей.

————

Поставьте лайк и поделитесь этим постом, чтобы повысить осведомленность и внести вклад в безопасность блокчейна :)