เมื่อวันที่ 16 ตุลาคม 2024 Radiant Capital ซึ่งเป็นโปรโตคอลการให้กู้ยืมข้ามเชนแบบกระจายศูนย์ที่สร้างขึ้นบน LayerZero ตกเป็นเหยื่อของการโจมตีทางไซเบอร์ที่ซับซ้อนอย่างมาก ส่งผลให้สูญเสียถึง 50 ล้าน USD
การโจมตีนี้ถูกเชื่อมโยงกับแฮกเกอร์จากเกาหลีเหนือ ซึ่งเป็นอีกหนึ่งบทที่น่าตกใจในกระแสอาชญากรรมไซเบอร์ที่เพิ่มขึ้นซึ่งมุ่งเป้าไปที่การเงินแบบกระจายศูนย์ (DeFi)
รายงานเชื่อมโยงนักแสดงเกาหลีเหนือกับเหตุการณ์ Radiant Capital
รายงานจาก OneKey ผู้ผลิตกระเป๋าฮาร์ดแวร์คริปโตที่ได้รับการสนับสนุนจาก Coinbase ระบุว่าการโจมตีนี้มาจากแฮกเกอร์เกาหลีเหนือ รายงานนี้ขยายจากโพสต์บน Mediumล่าสุดที่แชร์โดย Radiant Capital ซึ่งให้ข้อมูลอัปเดตเกี่ยวกับเหตุการณ์การโจมตีเมื่อวันที่ 16 ตุลาคม
มีรายงานว่า Mandiant บริษัทด้านความปลอดภัยทางไซเบอร์ชั้นนำ ได้เชื่อมโยงการละเมิดนี้กับกลุ่ม UNC4736 ซึ่งเป็นกลุ่มที่สอดคล้องกับ DPRK หรือที่รู้จักในชื่อ AppleJeus หรือ Citrine Sleet กลุ่มนี้ดำเนินการภายใต้สำนักข่าวกรองทั่วไป (RGB) ซึ่งเป็นหน่วยงานข่าวกรองหลักของเกาหลีเหนือ
การสืบสวนของ Mandiant เปิดเผยว่าผู้โจมตีได้วางแผนปฏิบัติการอย่างละเอียด พวกเขาจัดเตรียมสัญญาอัจฉริยะที่เป็นอันตรายบนเครือข่ายบล็อกเชนหลายแห่ง รวมถึง Arbitrum, Binance Smart Chain, Base และ Ethereum ความพยายามเหล่านี้สะท้อนถึงความสามารถขั้นสูงของผู้คุกคามที่ได้รับการสนับสนุนจาก DPRK ในการมุ่งเป้าไปที่ภาค DeFi
การละเมิดเริ่มต้นด้วยการโจมตีแบบฟิชชิ่งที่คำนวณไว้เมื่อวันที่ 11 กันยายน 2024 นักพัฒนาของ Radiant Capital ได้รับข้อความทาง Telegram จากบุคคลที่แอบอ้างเป็นผู้รับเหมาที่เชื่อถือได้ ข้อความนี้มีไฟล์ zip ที่อ้างว่ามีรายงานการตรวจสอบสัญญาอัจฉริยะ ไฟล์นี้ “Penpie_Hacking_Analysis_Report.zip” ถูกฝังด้วยมัลแวร์ที่รู้จักกันในชื่อ INLETDRIFT ซึ่งเป็น backdoor ของ macOS ที่อำนวยความสะดวกในการเข้าถึงระบบของ Radiant โดยไม่ได้รับอนุญาต
เมื่อผู้พัฒนาเปิดไฟล์ มันดูเหมือนจะเป็น PDF ที่ถูกต้อง อย่างไรก็ตาม มัลแวร์ได้ติดตั้งตัวเองอย่างเงียบ ๆ โดยสร้างการเชื่อมต่อ backdoor ไปยังโดเมนที่เป็นอันตรายที่ atokyonews[.]com สิ่งนี้ทำให้ผู้โจมตีสามารถแพร่กระจายมัลแวร์ไปยังสมาชิกในทีมของ Radiant ได้มากขึ้น ทำให้เข้าถึงระบบที่ละเอียดอ่อนได้ลึกยิ่งขึ้น
กลยุทธ์ของแฮกเกอร์จบลงด้วยการโจมตีแบบ man-in-the-middle (MITM) โดยการใช้ประโยชน์จากอุปกรณ์ที่ถูกบุกรุก พวกเขาดักจับและจัดการคำขอธุรกรรมภายใน Multisig wallets ของ Gnosis Safe ของ Radiant ในขณะที่ธุรกรรมดูเหมือนถูกต้องสำหรับนักพัฒนา มัลแวร์ได้เปลี่ยนแปลงอย่างลับ ๆ เพื่อดำเนินการเรียกโอนกรรมสิทธิ์ ยึดการควบคุมสัญญากลุ่มการให้กู้ยืมของ Radiant
การดำเนินการปล้น ผลกระทบต่ออุตสาหกรรม และบทเรียนที่ได้รับ
แม้ว่า Radiant จะปฏิบัติตามแนวทางที่ดีที่สุด เช่น การใช้กระเป๋าเงินฮาร์ดแวร์ การจำลองธุรกรรม และเครื่องมือการตรวจสอบ แต่กลวิธีของผู้โจมตีก็สามารถหลบเลี่ยงการป้องกันทั้งหมดได้ ภายในไม่กี่นาทีหลังจากได้ครอบครอง ผู้แฮ็กเกอร์ได้ดึงเงินออกจาก lending pools ของ Radiant ทำให้แพลตฟอร์มและผู้ใช้ต้องตกตะลึง
การแฮ็ก Radiant Capital เป็นการเตือนที่ชัดเจนต่ออุตสาหกรรม DeFi แม้แต่โครงการที่ปฏิบัติตามมาตรฐานความปลอดภัยอย่างเข้มงวดก็ยังตกเป็นเหยื่อของผู้คุกคามที่มีความซับซ้อนได้ เหตุการณ์นี้ได้เน้นย้ำถึงช่องโหว่ที่สำคัญ รวมถึง:
- ความเสี่ยงจากการฟิชชิ่ง: การโจมตีเริ่มต้นด้วยแผนการปลอมแปลงที่น่าเชื่อถือ เน้นย้ำถึงความจำเป็นในการเฝ้าระวังการแชร์ไฟล์ที่ไม่ได้ร้องขอ
- การลงนามแบบไม่ระวัง: แม้ว่าจะจำเป็น แต่กระเป๋าเงินฮาร์ดแวร์มักแสดงรายละเอียดธุรกรรมพื้นฐานเท่านั้น ทำให้ผู้ใช้ตรวจจับการแก้ไขที่เป็นอันตรายได้ยาก จำเป็นต้องมีการปรับปรุงโซลูชันระดับฮาร์ดแวร์เพื่อถอดรหัสและตรวจสอบ payload ของธุรกรรม
- ความปลอดภัยของส่วนหน้า: การพึ่งพาอินเทอร์เฟซส่วนหน้าในการตรวจสอบธุรกรรมพิสูจน์แล้วว่าไม่เพียงพอ อินเทอร์เฟซที่ถูกปลอมแปลงทำให้แฮ็กเกอร์สามารถจัดการข้อมูลธุรกรรมได้โดยไม่ถูกตรวจพบ
- จุดอ่อนในการกำกับดูแล: การขาดกลไกในการเพิกถอนการโอนความเป็นเจ้าของทำให้สัญญาของ Radiant มีความเสี่ยง การใช้การล็อกเวลา หรือการกำหนดให้มีการโอนเงินล่าช้าอาจให้เวลาตอบสนองที่สำคัญในเหตุการณ์ในอนาคต
เพื่อตอบสนองต่อการละเมิด Radiant Capital ได้ว่าจ้างบริษัทความปลอดภัยทางไซเบอร์ชั้นนำ รวมถึง Mandiant, zeroShadow และ Hypernative บริษัทเหล่านี้ช่วยในการสืบสวนและกู้คืนสินทรัพย์ Radiant DAO ยังร่วมมือกับหน่วยงานบังคับใช้กฎหมายของสหรัฐฯ เพื่อติดตามและอายัดเงินที่ถูกขโมย
ในโพสต์บน Medium Radiant ยังยืนยันความมุ่งมั่นในการแบ่งปันบทเรียนที่ได้รับและเพิ่มความปลอดภัยในอุตสาหกรรม DeFi DAO เน้นย้ำถึงความสำคัญของการนำกรอบการกำกับดูแลที่แข็งแกร่งมาใช้ การเสริมสร้างความปลอดภัยในระดับอุปกรณ์ และการหลีกเลี่ยงการปฏิบัติที่มีความเสี่ยงเช่นการลงนามแบบไม่ระวัง
ดูเหมือนว่าสิ่งต่างๆ อาจหยุดได้ที่ขั้นตอนที่ 1 ผู้ใช้คนหนึ่งบน X แสดงความคิดเห็น
เหตุการณ์ Radiant Capital สอดคล้องกับรายงานล่าสุด ซึ่งระบุว่าผู้แฮ็กเกอร์ชาวเกาหลีเหนือยังคงเปลี่ยนกลยุทธ์ เมื่ออาชญากรไซเบอร์มีความซับซ้อนมากขึ้น อุตสาหกรรมต้องปรับตัวโดยให้ความสำคัญกับความโปร่งใส มาตรการรักษาความปลอดภัยที่แข็งแกร่ง และความพยายามร่วมกันในการต่อสู้กับการโจมตีดังกล่าว
ข้อจำกัดความรับผิด
หมายเหตุบรรณาธิการ: เนื้อหาต่อไปนี้ไม่ได้สะท้อนถึงมุมมองหรือความคิเห็นของ BeInCrypto มันจัดทำขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลเท่านั้นและไม่ควรถูกตีความว่าเป็นคำแนะนำทางการเงิน กรุณาทำการวิจัยของคุณเองก่อนที่จะทำการตัดสินใจลงทุนใดๆ
