A Radiant Capital afirmou que um hack de US$ 50 milhões em sua plataforma de finanças descentralizadas (DeFi) em outubro foi realizado por meio de malware enviado via Telegram por um hacker alinhado à Coreia do Norte, posando como um ex-prestador de serviços.
Em uma atualização de 6 de dezembro sobre a investigação em andamento, a Radiant disse que sua empresa contratada de cibersegurança, Mandiant, avaliou “com alta confiança que esse ataque é atribuível a um ator de ameaça com conexões à República Popular Democrática da Coreia (DPRK, na sigla em inglês).”
A plataforma relatou que um desenvolvedor da Radiant recebeu uma mensagem no Telegram com um arquivo zip de um “ex-prestador de serviços confiável” em 11 de setembro, pedindo feedback sobre um novo empreendimento que estavam planejando.
“Após revisão, essa mensagem é suspeita de ter se originado de um ator de ameaça alinhado à DPRK, personificando o ex-prestador de serviços,” informou a empresa. “Esse arquivo ZIP, quando compartilhado para feedback entre outros desenvolvedores, acabou entregando um malware que facilitou a invasão subsequente.”
Em 16 de outubro, a plataforma DeFi foi forçada a interromper seus mercados de empréstimos depois que um hacker obteve controle das chaves privadas de vários signatários e contratos inteligentes. Grupos de hackers norte-coreanos têm como alvo frequente plataformas de criptomoedas e roubaram US$ 3 bilhões em criptomoedas entre 2017 e 2023.
Fonte: Radiant Capital
Radiant informou que o arquivo não levantou suspeitas porque “pedidos para revisar PDFs são rotineiros em ambientes profissionais,” e os desenvolvedores “frequentemente compartilham documentos nesse formato.”
O domínio associado ao arquivo ZIP também imitava o site legítimo do prestador de serviços.
Vários dispositivos de desenvolvedores da Radiant foram comprometidos durante o ataque, e as interfaces de front-end exibiram dados de transação benignos enquanto transações maliciosas eram assinadas em segundo plano.
“Verificações tradicionais e simulações não mostraram discrepâncias óbvias, tornando a ameaça virtualmente invisível durante etapas normais de revisão,” acrescentou a Radiant.
“Esse engano foi realizado de forma tão perfeita que, mesmo com as melhores práticas padrão da Radiant, como simular transações no Tenderly, verificar dados de payload e seguir SOPs padrão da indústria a cada etapa, os atacantes conseguiram comprometer vários dispositivos de desenvolvedores,” escreveu a empresa.
Exemplo de PDF isca que poderia ser usado por um grupo de hackers mal-intencionados. Fonte: Radiant Capital
A Radiant Capital disse que o ator de ameaça responsável é conhecido como “UNC4736,” também conhecido como “Citrine Sleet,” uma entidade alinhada à principal agência de inteligência da Coreia do Norte, o Bureau Geral de Reconhecimento (RGB). Pode ser um subgrupo do coletivo de hackers Lazarus Group.
Os hackers movimentaram cerca de US$ 52 milhões dos fundos roubados do ataque em 24 de outubro.
“A dependência de assinaturas cegas e verificações de front-end que podem ser falsificadas exige o desenvolvimento de soluções mais robustas, em nível de hardware, para decodificar e validar payloads de transações,” acrescentou.
Este não foi o primeiro comprometimento da Radiant este ano. A plataforma suspendeu mercados de empréstimos em janeiro após um ataque de empréstimo relâmpago de US$ 4,5 milhões.
Após os dois ataques este ano, o valor total bloqueado (TVL) da Radiant caiu significativamente, de mais de US$ 300 milhões no final do ano passado para cerca de US$ 5,81 milhões em 9 de dezembro, de acordo com a DefiLlama.