- Radiant Capital sufrió una pérdida de 50 millones de dólares en un ciberataque atribuido al grupo UNC4736 vinculado a la RPDC.
- Los atacantes utilizaron malware sofisticado e ingeniería social para eludir los protocolos de seguridad.
- El incidente pone de manifiesto vulnerabilidades críticas en la seguridad de DeFi, instando a la adopción de la verificación de transacciones a nivel de hardware en todo el sector.
Radiant Capital ha confirmado nuevos hallazgos en torno al devastador ciberataque de 50 millones de dólares que sufrió el 16 de octubre de 2024. Una investigación de la firma de ciberseguridad Mandiant identificó a los atacantes como UNC4736, un grupo de amenazas vinculado a Corea del Norte conectado a la Oficina General de Reconocimiento (RGB) de la nación.
Este es otro aumento alarmante en la sofisticación de los ciberataques dirigidos a las finanzas descentralizadas (DeFi), lo que muestra la necesidad urgente de medidas de seguridad más sólidas en la industria.
Cómo se desarrolló el ataque
El ataque se puso en marcha el 11 de septiembre de 2024, cuando un desarrollador de Radiant recibió un mensaje de Telegram aparentemente normal de alguien que se hacía pasar por un antiguo contratista. El mensaje tenía un archivo ZIP, que supuestamente mostraba el trabajo del contratista en la auditoría de contratos inteligentes. Pero contenía un malware sofisticado llamado INLETDRIFT.
Este malware, disfrazado como un archivo PDF legítimo, estableció una puerta trasera de macOS en el dispositivo de la víctima y lo conectó a un dominio externo controlado por los atacantes. Durante las semanas siguientes, UNC4736 desplegó contratos inteligentes maliciosos en Arbitrum, Binance Smart Chain, Base y Ethereum, planificando meticulosamente el atraco.
Aunque Radiant siguió protocolos de seguridad estándar, como simulaciones de transacciones con Tenderly y verificación de carga útil, los atacantes utilizaron vulnerabilidades en las interfaces front-end para manipular los datos de las transacciones. En el momento en que ocurrió el robo, los piratas informáticos habían ocultado bien sus acciones, lo que hacía que la detección fuera casi imposible.
Atribución y tácticas
UNC4736, también conocido como AppleJeus o Citrine Sleet, es un conocido grupo de amenazas vinculado al TEMP de la RPDC. Ermitaño. El grupo se centra en los delitos financieros cibernéticos, a menudo utilizando técnicas de ingeniería social muy avanzadas para infiltrarse en los sistemas. Mandiant atribuye este ataque al grupo con gran confianza, debido a su uso de tácticas a nivel estatal.
(adsbygoogle = window.adsbygoogle || []).push({});Los fondos robados se movieron a los pocos minutos del robo, y se borraron todos los rastros de malware y extensiones de navegador utilizados durante el ataque.
Una llamada de atención para la seguridad de DeFi
Esta violación pone de manifiesto las vulnerabilidades de las prácticas actuales de seguridad de DeFi , en particular la dependencia de la firma a ciegas y las verificaciones de transacciones en el front-end. Radiant Capital ha pedido un cambio en toda la industria hacia la verificación de transacciones a nivel de hardware para evitar incidentes similares.
Radiant DAO está trabajando con Mandiant, zeroShadow, Hypernative y las fuerzas del orden de EE. UU. para rastrear y recuperar los fondos robados. Los esfuerzos continúan, y la organización planea compartir sus hallazgos para mejorar los estándares de seguridad para el ecosistema cripto en general.
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
