Độ phức tạp và chính xác của cuộc tấn công này vượt xa những gì mà hầu hết mọi người có thể tưởng tượng.
Những hacker Bắc Triều Tiên rõ ràng đã bước vào cấp độ mới của tội phạm mạng.
Kim Jong-un đã thức dậy và chọn bạo lực.
————
Vào ngày 16 tháng 10, Radiant Capital—một giao thức cho vay phi tập trung xuyên chuỗi được xây dựng trên LayerZero—đã bị tấn công.
Các quỹ được ủy quyền cho các hợp đồng dự án đã bị rút sạch hoàn toàn, dẫn đến tổn thất khoảng 50 triệu đô la. Sự việc đã gây chấn động trong cộng đồng.
Nhà phát triển nổi bật @bantg đã bình luận về cuộc tấn công, cho biết:
“cấp độ tấn công này thực sự rất đáng sợ. Theo hiểu biết của tôi, các người ký bị xâm phạm đã tuân thủ các thực tiễn tốt nhất. Họ cũng đã sử dụng các kết hợp khác nhau của hệ điều hành, phần mềm và ví phần cứng, cũng như mô phỏng mọi giao dịch.”
Radiant Capital gần đây đã công bố một bài viết chi tiết về sự cố này hợp tác với Mandiant và các công ty bảo mật khác (https://medium[.]com/@RadiantCapital/radiant-capital-incident-update-e56d8c23829e). Báo cáo này liên kết mạnh mẽ cuộc tấn công với các tác nhân Bắc Triều Tiên.
>> Phân tích từng bước của cuộc tấn công <<
> Bước 1: Giả mạo
Vào ngày 11 tháng 9 năm 2024, một nhà phát triển của Radiant Capital đã nhận được tin nhắn qua Telegram từ người giả mạo là một nhà thầu—một freelancer bên ngoài đã từng làm việc với công ty.
Tin nhắn có vẻ tự nhiên:
“Tôi đã bắt đầu làm việc về việc kiểm tra hợp đồng thông minh và rất muốn nhận phản hồi của bạn về báo cáo dự án của tôi.”
“Nhà thầu cũ” thậm chí đã cung cấp một tệp zip chứa báo cáo được cho là, tuyên bố rằng nó có những thông tin chi tiết và yêu cầu nhận xét.
Yêu cầu kiểu này khá phổ biến trong không gian tiền điện tử, nơi mà hợp tác từ xa và chia sẻ tệp PDF là chuyện thường. Để làm mọi thứ tệ hơn, những hacker đã sử dụng một tên miền rất giống với trang web cá nhân thực sự của nhà thầu, tăng tính xác thực cho trò lừa đảo của họ.
Tất cả điều này đã khiến nhà phát triển tin rằng tin nhắn là hợp pháp, không nhận ra đó là một cuộc tấn công lừa đảo tinh vi.
> Bước 2: Triển khai phần mềm độc hại
Khi nhà phát triển tải xuống và giải nén tệp zip, nội dung có vẻ là một tài liệu PDF bình thường.
Mở tệp hiển thị một tài liệu PDF được thiết kế tinh xảo, trông hợp pháp với nội dung “chuyên nghiệp và chi tiết”.
Nhưng đây chỉ là một cái bẫy. Tệp thực tế là một tệp .app thực thi được ngụy trang dưới dạng PDF, chứa phần mềm độc hại có tên INLETDRIFT.
Khi được thực thi, INLETDRIFT đã cài đặt một lỗ hổng trên thiết bị macOS của nhà phát triển và bắt đầu giao tiếp với máy chủ của hacker tại atokyonews[.]com.
Nếu nhà phát triển phát hiện ra vấn đề và hành động ngay lập tức—bằng cách chạy quét virus hoặc thu hồi quyền truy cập quan trọng—thì thiệt hại có thể đã được giảm thiểu.
Đáng tiếc, nhà phát triển đã vô tình chia sẻ tệp với các thành viên trong nhóm khác để nhận phản hồi, làm lây lan phần mềm độc hại hơn nữa và tạo điều kiện cho hacker truy cập sâu hơn để xâm nhập tiếp theo.
> Bước 3: Tấn công chính xác
Sau khi phần mềm độc hại được triển khai thành công, các hacker đã thực hiện một cuộc tấn công man-in-the-middle (MITM), tận dụng quyền kiểm soát thiết bị bị nhiễm để chặn và thao túng yêu cầu giao dịch.
Khi nhóm của Radiant Capital sử dụng ví đa chữ ký Gnosis Safe (@safe), các hacker đã chặn dữ liệu giao dịch được hiển thị trên giao diện phía trước.
Trên màn hình của các nhà phát triển, giao dịch có vẻ như là một hoạt động đa chữ ký hợp pháp. Nhưng khi các yêu cầu đến ví phần cứng Ledger để ký, phần mềm độc hại đã thay thế chúng bằng các hướng dẫn độc hại.
Vì các ví Ledger không phân tích các giao dịch Gnosis Safe, các nhà phát triển đã mù quáng ký các yêu cầu mà không nhận ra rằng họ thực sự đang thực hiện một lệnh transferOwnership(). Điều này đã giao quyền kiểm soát các hợp đồng quỹ cho vay của Radiant cho các kẻ tấn công.
Với quyền sở hữu đã được đảm bảo, các hacker đã lợi dụng các hợp đồng để rút các quỹ được ủy quyền bởi người dùng cho các quỹ cho vay.
Cuộc tấn công thay thế trung gian này đã được thực hiện với độ chính xác cao.Mặc dù Radiant Capital dựa vào ví phần cứng, các công cụ mô phỏng giao dịch như Tenderly và tuân thủ các quy trình hoạt động tiêu chuẩn trong ngành, đội ngũ vẫn không phát hiện được bất kỳ điều gì nghi ngờ.
Ngay khi phần mềm độc hại xâm nhập vào thiết bị, hệ thống sẽ hoàn toàn nằm trong sự kiểm soát của hacker, làm cho ngay cả những quy trình tốt nhất cũng trở nên không hiệu quả.
> Bước 4: Thoát sạch
Chỉ trong vòng 3 phút sau khi hoàn thành vụ trộm, các hacker đã xóa sạch mọi dấu vết của hoạt động của họ. Họ đã gỡ bỏ các backdoor, tiện ích mở rộng của trình duyệt, và các hiện vật khác từ các hệ thống bị xâm phạm để giảm thiểu khả năng bị phát hiện và giảm nguy cơ bị theo dõi.
>> Bài học rút ra <<
Cuộc tấn công này gửi đi một cảnh báo mạnh mẽ tới toàn bộ ngành DeFi. Ngay cả một dự án tuân thủ các quy trình tốt nhất với ví phần cứng, xác thực giao dịch phía trước, và các công cụ mô phỏng cũng không thoát khỏi. Sự cố này làm nổi bật một số vấn đề chính:
(1) Tránh Tải Xuống Tập Tin: Sử Dụng Tài Liệu Trực Tuyến Thay Thế
Ngừng tải xuống các tập tin, đặc biệt là từ các nguồn không xác minh. Điều này bao gồm các tập tin zip, PDF và các tệp thực thi.
Thay vào đó, các đội nên áp dụng các công cụ hợp tác tài liệu trực tuyến như Google Docs hoặc Notion để xem và chỉnh sửa nội dung trực tiếp trong trình duyệt. Điều này giảm thiểu đáng kể nguy cơ xâm nhập phần mềm độc hại.
Ví dụ, mẫu đơn tuyển dụng của OneKey (https://gr4yl99ujhl.typeform[.]com/to/XhZ4wVcn?utm_source=official) yêu cầu nộp dưới dạng liên kết Google Docs (bắt đầu bằng docs[.]google[.]com). Chúng tôi không bao giờ mở các loại tệp khác, bao gồm hồ sơ xin việc hoặc tệp danh mục.
Đội ngũ của Radiant Capital rõ ràng đã đánh giá thấp nguy cơ lừa đảo thông qua phần mềm độc hại. Các thành viên có quyền truy cập nhạy cảm phải nâng cao bảo mật thiết bị, cài đặt phần mềm diệt virus và thực thi các chính sách chia sẻ tệp chặt chẽ hơn để giảm thiểu những rủi ro này.
(2) Bảo Mật Giao Diện Người Dùng Là Rất Quan Trọng
Phần lớn các xác thực giao dịch phụ thuộc vào giao diện người dùng, nhưng hacker có thể dễ dàng giả mạo chúng để trình bày dữ liệu giao dịch giả mạo. Các cuộc tấn công chuỗi cung ứng nhắm vào các phụ thuộc, chẳng hạn như sự cố nổi tiếng với thư viện Solana web3.js(https://t.co/QGnjawQOKw), cũng là một mối đe dọa đang gia tăng.
(3) Nguy Cơ Của Việc Ký Mù
Nhiều ví phần cứng chỉ hiển thị các tóm tắt giao dịch cơ bản, khiến người dùng không thể xác minh tính toàn vẹn của giao dịch.
OneKey đã có những tiến bộ đáng kể trong việc giải quyết vấn đề ký mù cho các giao dịch Permit, và hỗ trợ cho các giao dịch đa chữ ký Gnosis Safe cũng đang được phát triển.
(4) Tăng Cường Quản Trị Tài Sản DeFi
Các dự án DeFi nên thực hiện các cơ chế Timelock và các khung quản trị mạnh mẽ cho các hoạt động quan trọng.
Bằng cách giới thiệu các độ trễ T+1 hoặc tương tự, các chuyển khoản lớn sẽ yêu cầu một khoảng thời gian chờ, tạo đủ thời gian cho các đội ngũ an ninh và hacker mũ trắng để phát hiện các bất thường, kích hoạt cảnh báo và thực hiện hành động. Người dùng cũng có thể thu hồi các phê duyệt trong khoảng thời gian này để bảo vệ tài sản của họ.
So với việc thức dậy và phát hiện ra rằng tài sản đã biến mất, Timelock cung cấp thời gian phản ứng rất cần thiết, cải thiện đáng kể mức độ bảo mật.
Cần lưu ý rằng các hợp đồng của Radiant không có cơ chế thu hồi cho các chuyển nhượng quyền sở hữu. Các kẻ tấn công đã khai thác điều này để nâng cấp các hợp đồng và thực hiện vụ trộm. Điều này làm nổi bật sự cần thiết phải thiết kế hợp đồng tốt hơn để ngăn chặn những lỗ hổng như vậy.
————
Hãy thích và chia sẻ bài viết này để nâng cao nhận thức và đóng góp vào an ninh blockchain :)