Bu saldırının karmaşıklığı ve hassasiyeti çoğu insanın hayal edebileceğinin ötesindeydi.
Kuzey Koreli bilgisayar korsanlarının siber suçta yeni bir aşamaya geçtiği açıkça görülüyor.
Kim Jong-un uyandı ve şiddeti seçti.
————
16 Ekim'de, LayerZero üzerine kurulu merkezi olmayan bir zincirler arası kredi protokolü olan Radiant Capital hacklendi.
Sözleşmeleri projelendirmek için yetkilendirilen fonlar tamamen tükendi ve yaklaşık 50 milyon dolarlık kayba yol açtı. Olay, toplulukta şok dalgaları yarattı.
Ünlü geliştirici @bantg saldırıya ilişkin şu yorumu yaptı:
"Bu düzeydeki saldırı gerçekten korkutucu. Bildiğim kadarıyla, tehlikeye atılan imzacılar en iyi uygulamaları takip ettiler. Ayrıca farklı işletim sistemi, yazılım ve donanım cüzdan kombinasyonları kullandılar ve her işlemi simüle ettiler."
Radiant Capital yakın zamanda Mandiant ve diğer güvenlik firmalarıyla işbirliği içinde ayrıntılı bir otopsi yayınladı (https://medium[.]com/@RadiantCapital/radiant-capital-incident-update-e56d8c23829e). Rapor, saldırıyı Kuzey Koreli aktörlerle güçlü bir şekilde ilişkilendiriyor.
>> Saldırının Adım Adım Ayrıntılı Analizi <<
> Adım 1: Sahtecilik
11 Eylül 2024'te bir Radiant Capital geliştiricisi, daha önce şirketle çalışmış olan dışarıdan bir serbest çalışan olan ve kendisini bir müteahhit olarak tanıtan birinden Telegram mesajı aldı.
Mesaj gayet doğaldı:
“Akıllı sözleşme denetimi üzerinde çalışmaya başladım ve proje raporum hakkında geri bildirimlerinizi almaktan mutluluk duyarım.”
"Eski müteahhit" sözde raporun yer aldığı bir zip dosyasını bile vererek, raporda detaylı bilgiler bulunduğunu iddia etti ve yorum talep etti.
Bu tür istekler, uzaktan işbirliği ve PDF dosyalarının paylaşımının rutin olduğu kripto alanında oldukça yaygındır. Daha da kötüsü, bilgisayar korsanları gerçek yüklenicinin kişisel web sitesine çok benzeyen bir alan adı kullandılar ve bu da hilelerine güvenilirlik kattı.
Tüm bunlar, geliştiricinin mesajın meşru olduğuna inanmasına ve bunun karmaşık bir kimlik avı saldırısı olduğunu fark edememesine yol açtı.
> Adım 2: Kötü Amaçlı Yazılım Dağıtımı
Geliştirici zip dosyasını indirip çıkardığında, içeriğin normal bir PDF belgesi olduğu ortaya çıktı.
Dosyayı açtığımda, "profesyonel ve detaylı" içeriklere sahip, iyi hazırlanmış, meşru görünümlü bir PDF ile karşılaştım.
Ancak bu yalnızca bir aldatmacaydı. Dosya aslında PDF olarak gizlenmiş yürütülebilir bir .app dosyasıydı ve INLETDRIFT adlı kötü amaçlı yazılım içeriyordu.
INLETDRIFT çalıştırıldıktan sonra geliştiricinin macOS cihazına bir arka kapı yerleştirdi ve atokyonews[.]com adresindeki bilgisayar korsanlarının sunucusuyla iletişim kurmaya başladı.
Geliştirici sorunu tespit edip derhal harekete geçseydi (antivirüs taramaları yaparak veya önemli izinleri iptal ederek), hasar azaltılabilirdi.
Ne yazık ki geliştirici, geri bildirim almak için dosyayı bilmeden diğer ekip üyeleriyle paylaşmış, böylece kötü amaçlı yazılımın daha fazla yayılmasına ve bilgisayar korsanlarına daha sonraki sızmalar için daha geniş bir erişim olanağı sağlanmış.
> Adım 3: Hassas Saldırı
Kötü amaçlı yazılım başarıyla dağıtıldıktan sonra, bilgisayar korsanları, enfekte cihazlar üzerindeki kontrollerini kullanarak işlem isteklerini engellemek ve manipüle etmek için aracı saldırı (MITM) gerçekleştirdiler.
Radiant Capital ekibi Gnosis Safe (@safe) çoklu imzalı cüzdanları kullandığında, bilgisayar korsanları ön uç arayüzünde görüntülenen işlem verilerini ele geçirdi.
Geliştiricilerin ekranlarında, işlem meşru bir çoklu imza işlemi gibi görünüyordu. Ancak istekler imzalama için Ledger donanım cüzdanlarına ulaştığında, kötü amaçlı yazılım bunları kötü amaçlı talimatlarla değiştirdi.
Ledger cüzdanları Gnosis Safe işlemlerini ayrıştırmadığından, geliştiriciler aslında bir transferOwnership() çağrısı yürüttüklerini fark etmeden istekleri körü körüne imzaladılar. Bu, Radiant'ın kredi havuzu sözleşmelerinin kontrolünü saldırganlara devretti.
Mülkiyet güvence altına alındıktan sonra, bilgisayar korsanları sözleşmeleri, kullanıcılar tarafından yetkilendirilen fonları borç verme havuzlarına aktarmak için kullandılar.
Bu aracı değiştirme saldırısı, nokta atışı bir doğrulukla gerçekleştirildi. Radiant Capital'in donanım cüzdanlarına, Tenderly gibi işlem simülasyon araçlarına ve endüstri standardı operasyonel prosedürlere bağlı kalmasına rağmen, ekip şüpheli bir şey tespit edemedi.
Kötü amaçlı yazılım bir cihazı tehlikeye attığında, sistem fiilen bilgisayar korsanının tam kontrolü altına girer ve bu da en iyi uygulamaların bile etkisiz kalmasına neden olur.
> Adım 4: Temiz Çıkış
Hırsızlığı tamamladıktan sadece 3 dakika sonra, bilgisayar korsanları faaliyetlerinin tüm izlerini sildi. Maruziyeti en aza indirmek ve izlenme olasılığını azaltmak için tehlikeye atılmış sistemlerden arka kapıları, tarayıcı uzantılarını ve diğer eserleri kaldırdılar.
>> Öğrenilen Dersler <<
Bu saldırı tüm DeFi sektörüne sert bir uyarı gönderiyor. Donanım cüzdanları, ön uç işlem doğrulaması ve simülasyon araçlarıyla en iyi uygulamaları izleyen bir proje bile bundan kurtulamadı. Olay birkaç önemli sorunu vurguluyor:
(1) Dosyaları İndirmekten Kaçının: Bunun Yerine Çevrimiçi Belgeleri Kullanın
Özellikle doğrulanmamış kaynaklardan dosya indirmeyi bırakın. Bunlara zip dosyaları, PDF'ler ve yürütülebilir dosyalar dahildir.
Bunun yerine, ekipler içeriği doğrudan tarayıcıda görüntülemek ve düzenlemek için Google Docs veya Notion gibi çevrimiçi belge işbirliği araçlarını benimsemelidir. Bu, kötü amaçlı yazılım sızma riskini önemli ölçüde azaltır.
Örneğin, OneKey'in işe alım formu (https://gr4yl99ujhl.typeform[.]com/to/XhZ4wVcn?utm_source=official) açıkça Google Dokümanlar bağlantıları (docs[.]google[.]com ile başlayan) olarak gönderimleri gerektirir. Özgeçmişler veya portföy dosyaları dahil olmak üzere diğer dosya türlerini asla açmayız.
Radiant Capital ekibi, kötü amaçlı yazılımlar aracılığıyla kimlik avı riskini açıkça hafife aldı. Hassas izinlere sahip üyeler, bu riskleri azaltmak için cihaz güvenliğini artırmalı, antivirüs yazılımı yüklemeli ve daha katı dosya paylaşım politikaları uygulamalıdır.
(2) Ön Uç Güvenliği Kritik Önem Taşıyor
Çoğu işlem doğrulaması büyük ölçüde ön uç arayüzlerine dayanır, ancak bilgisayar korsanları sahte işlem verileri sunmak için bunları kolayca taklit edebilir. Kötü şöhretli Solana web3.js kütüphane olayı(https://t.co/QGnjawQOKw) gibi bağımlılıkları hedef alan tedarik zinciri saldırıları da büyüyen bir tehdittir.
(3) Kör İmza Atmanın Riskleri
Birçok donanım cüzdanı yalnızca temel işlem özetlerini görüntüler ve bu da kullanıcıların işlem bütünlüğünü doğrulamasını imkansız hale getirir.
OneKey, İzin işlemleri için kör imzalama sorununu çözmede önemli ilerleme kaydetti ve Gnosis Güvenli çoklu imzalı işlemlere yönelik destek de geliştirilme aşamasındadır.
(4) DeFi Varlık Yönetimini Güçlendirin
DeFi projeleri, kritik operasyonlar için Zaman Kilitlerini ve sağlam yönetişim çerçevelerini uygulamalıdır.
T+1 veya benzeri gecikmeler getirilerek, büyük fon transferleri bir bekleme süresi gerektirecek ve güvenlik ekipleri ile beyaz şapkalı bilgisayar korsanlarının anormallikleri tespit etmesi, uyarıları tetiklemesi ve harekete geçmesi için yeterli zaman sağlanacaktır. Kullanıcılar ayrıca varlıklarını korumak için bu pencere sırasında onayları iptal edebilirler.
Uyandığınızda paranızın kaybolduğunu görmekle karşılaştırıldığında, Zaman Kilitleri çok ihtiyaç duyulan tepki süresini sağlayarak güvenliği önemli ölçüde artırır.
Radiant'ın sözleşmelerinin sahiplik transferleri için bir iptal mekanizmasından yoksun olduğunu belirtmekte fayda var. Saldırganlar bunu sözleşmeleri yükseltmek ve hırsızlığı gerçekleştirmek için kullandılar. Bu, bu tür güvenlik açıklarını önlemek için daha iyi sözleşme tasarımına olan ihtiyacı vurguluyor.
————
Farkındalığı artırmak ve blockchain güvenliğine katkıda bulunmak için bu gönderiyi beğenin ve paylaşın :)