这次攻击的复杂性和精准度超出了大多数人的想象。

朝鲜黑客显然已经进入了网络犯罪的下一个层次。

金正恩醒来并选择了暴力。

————

10月16日，Radiant Capital——一个基于LayerZero构建的去中心化跨链借贷协议——遭到黑客攻击。

被授权的项目合约资金被完全抽空，造成了约5000万美元的损失。这一事件在社区中引发了震动。

知名开发者@bantg对此次攻击评论道：“这种级别的攻击真的很可怕。根据我的了解，受影响的签名者遵循了最佳实践。他们还使用了不同组合的操作系统、软件和硬件钱包，并模拟了每一笔交易。”

Radiant Capital最近与Mandiant及其他安全公司联合发布了一份详细的事后分析报告（https://medium[.]com/@RadiantCapital/radiant-capital-incident-update-e56d8c23829e）。报告强烈将此次攻击与朝鲜黑客联系在一起。

>> 攻击的逐步解析 <<

> 第一步：冒充

2024年9月11日，一名Radiant Capital的开发者收到了来自一个冒充承包商的人的Telegram消息——这个承包商是之前与公司合作过的外部自由职业者。

消息看起来很自然：
“我已经开始进行智能合约审计，想听听你对我的项目报告的反馈。”

这位“前承包商”甚至提供了一个包含所谓报告的压缩文件，声称其中有详细的见解并请求评论。这种请求在加密领域相当常见，远程协作和共享PDF文件是常规操作。更糟糕的是，黑客使用了一个与真实承包商个人网站非常相似的域名，增加了他们伪装的可信度。

所有这些都让开发者相信消息是真实的，未能识别出这是一个复杂的钓鱼攻击。

> 第2步：恶意软件部署

当开发者下载并解压缩该压缩文件时，内容看起来像是一个正常的PDF文档。

打开该文件后，显示出一份制作精良、外观合法的PDF，内容“专业且详细”。

但这只是一个诱饵。该文件实际上是一个伪装成PDF的可执行.app文件，里面包含名为INLETDRIFT的恶意软件。

一旦执行，INLETDRIFT就在开发者的macOS设备上安装了后门，并开始与黑客的服务器atokyonews[.]com进行通信。

如果开发者及时发现问题并采取行动——例如运行杀毒扫描或撤销关键权限——损害可能会得到缓解。

不幸的是，开发者无意中将该文件分享给其他团队成员以获取反馈，进一步传播了恶意软件，并为黑客提供了更广泛的后续渗透通道。

> 第3步：精准攻击

在恶意软件成功部署后，黑客实施了中间人攻击（MITM），利用对感染设备的控制权来拦截和操纵交易请求。

当Radiant Capital的团队使用Gnosis Safe (@safe) 多重签名钱包时，黑客拦截了前端界面上显示的交易数据。

在开发者的屏幕上，交易看起来像是合法的多重签名操作。但当请求到达Ledger硬件钱包进行签名时，恶意软件将其替换为恶意指令。

由于Ledger钱包不解析Gnosis Safe交易，开发者在没有注意到的情况下盲目签署了请求，实际上执行了transferOwnership()调用。这将Radiant的贷款池合约的控制权交给了攻击者。

通过确保所有权，黑客利用合约抽走了用户授权给贷款池的资金。

这次中间人替换攻击的执行非常精准。尽管Radiant Capital依赖硬件钱包、像Tenderly这样的交易模拟工具，并遵循行业标准的操作程序，但团队仍未能发现任何可疑活动。

一旦恶意软件侵入设备，该系统便完全处于黑客的控制之下，即使是最佳实践也变得无效。

> 第4步：清理退出

在盗窃完成后的短短3分钟内，黑客抹去了所有活动痕迹。他们清除了后门、浏览器扩展以及其他从被攻陷系统中留下的痕迹，以减少暴露并降低被追踪的可能性。

>> 教训总结 <<

此次攻击向整个DeFi行业发出了严酷的警告。即使是一个遵循最佳实践、使用硬件钱包、前端交易验证和模拟工具的项目也未能幸免。该事件突显了几个关键问题：

(1) 避免下载文件：使用在线文档
停止下载文件，尤其是来自未验证来源的文件。这包括zip文件、PDF和可执行文件。

团队应采用像Google Docs或Notion这样的在线文档协作工具，直接在浏览器中查看和编辑内容。这显著降低了恶意软件渗透的风险。

例如，OneKey的招聘表格(https://gr4yl99ujhl.typeform[.]com/to/XhZ4wVcn?utm_source=official)明确要求以Google Docs链接形式提交(以docs[.]google[.]com开头)。我们从不打开其他文件类型，包括简历或作品集文件。

Radiant Capital的团队显然低估了通过恶意软件进行钓鱼的风险。拥有敏感权限的成员必须增强设备安全性，安装杀毒软件，并实施更严格的文件共享政策，以降低这些风险。

(2) 前端安全至关重要

大多数交易验证严重依赖前端接口，但黑客可以轻松伪造这些接口以呈现虚假的交易数据。针对依赖项的供应链攻击，例如臭名昭著的 Solana web3.js 库事件（https://t.co/QGnjawQOKw），正成为一个日益增加的威胁。

(3) 盲签署的风险

许多硬件钱包仅显示基本的交易摘要，使得用户无法验证交易的完整性。

OneKey 在解决 Permit 交易的盲签署问题上取得了显著进展，同时也在开发对 Gnosis Safe 多签交易的支持。

(4) 加强 DeFi 资产治理

DeFi 项目应为关键操作实施时间锁和强有力的治理框架。

通过引入 T+1 或类似的延迟，大额资金转移将需要等待期，为安全团队和白帽黑客提供足够的时间来检测异常、触发警报并采取行动。在此期间，用户也可以撤销批准以保护他们的资产。

与醒来后发现资金消失相比，时间锁提供了急需的反应时间，显著提高了安全性。

值得注意的是，Radiant 的合约缺乏所有权转移的撤销机制。攻击者利用这一点升级合约并进行盗窃。这凸显了需要更好地设计合约以防止此类漏洞。

————

点赞并分享此帖子，以提高意识并为区块链安全贡献力量 :)