這次攻擊的複雜性和精準度超出了大多數人的想象。

朝鮮黑客顯然已經進入了網絡犯罪的下一個層次。

金正恩醒來並選擇了暴力。

————

10月16日，Radiant Capital——一個基於LayerZero構建的去中心化跨鏈借貸協議——遭到黑客攻擊。

被授權的項目合約資金被完全抽空，造成了約5000萬美元的損失。這一事件在社區中引發了震動。

知名開發者@bantg對此次攻擊評論道：“這種級別的攻擊真的很可怕。根據我的瞭解，受影響的籤名者遵循了最佳實踐。他們還使用了不同組合的操作系統、軟件和硬件錢包，並模擬了每一筆交易。”

Radiant Capital最近與Mandiant及其他安全公司聯合發佈了一份詳細的事後分析報告（https://medium[.]com/@RadiantCapital/radiant-capital-incident-update-e56d8c23829e）。報告強烈將此次攻擊與朝鮮黑客聯繫在一起。

>> 攻擊的逐步解析 <<

> 第一步：冒充

2024年9月11日，一名Radiant Capital的開發者收到了來自一個冒充承包商的人的Telegram消息——這個承包商是之前與公司合作過的外部自由職業者。

消息看起來很自然：
“我已經開始進行智能合約審計，想聽聽你對我的項目報告的反饋。”

這位“前承包商”甚至提供了一個包含所謂報告的壓縮文件，聲稱其中有詳細的見解並請求評論。這種請求在加密領域相當常見，遠程協作和共享PDF文件是常規操作。更糟糕的是，黑客使用了一個與真實承包商個人網站非常相似的域名，增加了他們僞裝的可信度。

所有這些都讓開發者相信消息是真實的，未能識別出這是一個複雜的釣魚攻擊。

> 第2步：惡意軟件部署

當開發者下載並解壓縮該壓縮文件時，內容看起來像是一個正常的PDF文檔。

打開該文件後，顯示出一份製作精良、外觀合法的PDF，內容“專業且詳細”。

但這只是一個誘餌。該文件實際上是一個僞裝成PDF的可執行.app文件，裏面包含名爲INLETDRIFT的惡意軟件。

一旦執行，INLETDRIFT就在開發者的macOS設備上安裝了後門，並開始與黑客的服務器atokyonews[.]com進行通信。

如果開發者及時發現問題並採取行動——例如運行殺毒掃描或撤銷關鍵權限——損害可能會得到緩解。

不幸的是，開發者無意中將該文件分享給其他團隊成員以獲取反饋，進一步傳播了惡意軟件，並爲黑客提供了更廣泛的後續滲透通道。

> 第3步：精準攻擊

在惡意軟件成功部署後，黑客實施了中間人攻擊（MITM），利用對感染設備的控制權來攔截和操縱交易請求。

當Radiant Capital的團隊使用Gnosis Safe (@safe) 多重簽名錢包時，黑客攔截了前端界面上顯示的交易數據。

在開發者的屏幕上，交易看起來像是合法的多重簽名操作。但當請求到達Ledger硬件錢包進行簽名時，惡意軟件將其替換爲惡意指令。

由於Ledger錢包不解析Gnosis Safe交易，開發者在沒有注意到的情況下盲目簽署了請求，實際上執行了transferOwnership()調用。這將Radiant的貸款池合約的控制權交給了攻擊者。

通過確保所有權，黑客利用合約抽走了用戶授權給貸款池的資金。

這次中間人替換攻擊的執行非常精準。儘管Radiant Capital依賴硬件錢包、像Tenderly這樣的交易模擬工具，並遵循行業標準的操作程序，但團隊仍未能發現任何可疑活動。

一旦惡意軟件侵入設備，該系統便完全處於黑客的控制之下，即使是最佳實踐也變得無效。

> 第4步：清理退出

在盜竊完成後的短短3分鐘內，黑客抹去了所有活動痕跡。他們清除了後門、瀏覽器擴展以及其他從被攻陷系統中留下的痕跡，以減少暴露並降低被追蹤的可能性。

>> 教訓總結 <<

此次攻擊向整個DeFi行業發出了嚴酷的警告。即使是一個遵循最佳實踐、使用硬件錢包、前端交易驗證和模擬工具的項目也未能幸免。該事件突顯了幾個關鍵問題：

(1) 避免下載文件：使用在線文檔
停止下載文件，尤其是來自未驗證來源的文件。這包括zip文件、PDF和可執行文件。

團隊應採用像Google Docs或Notion這樣的在線文檔協作工具，直接在瀏覽器中查看和編輯內容。這顯著降低了惡意軟件滲透的風險。

例如，OneKey的招聘表格(https://gr4yl99ujhl.typeform[.]com/to/XhZ4wVcn?utm_source=official)明確要求以Google Docs鏈接形式提交(以docs[.]google[.]com開頭)。我們從不打開其他文件類型，包括簡歷或作品集文件。

Radiant Capital的團隊顯然低估了通過惡意軟件進行釣魚的風險。擁有敏感權限的成員必須增強設備安全性，安裝殺毒軟件，並實施更嚴格的文件共享政策，以降低這些風險。

(2) 前端安全至關重要

大多數交易驗證嚴重依賴前端接口，但黑客可以輕鬆僞造這些接口以呈現虛假的交易數據。針對依賴項的供應鏈攻擊，例如臭名昭著的 Solana web3.js 庫事件（https://t.co/QGnjawQOKw），正成爲一個日益增加的威脅。

(3) 盲簽署的風險

許多硬件錢包僅顯示基本的交易摘要，使得用戶無法驗證交易的完整性。

OneKey 在解決 Permit 交易的盲簽署問題上取得了顯著進展，同時也在開發對 Gnosis Safe 多籤交易的支持。

(4) 加強 DeFi 資產治理

DeFi 項目應爲關鍵操作實施時間鎖和強有力的治理框架。

通過引入 T+1 或類似的延遲，大額資金轉移將需要等待期，爲安全團隊和白帽黑客提供足夠的時間來檢測異常、觸發警報並採取行動。在此期間，用戶也可以撤銷批准以保護他們的資產。

與醒來後發現資金消失相比，時間鎖提供了急需的反應時間，顯著提高了安全性。

值得注意的是，Radiant 的合約缺乏所有權轉移的撤銷機制。攻擊者利用這一點升級合約並進行盜竊。這凸顯了需要更好地設計合約以防止此類漏洞。

————

點贊並分享此帖子，以提高意識併爲區塊鏈安全貢獻力量 :)