Radiant Capital thông báo rằng vụ hack trị giá 50 triệu USD xảy ra vào tháng 10 trên nền tảng DeFi của họ đã được thực hiện thông qua phần mềm độc hại gửi qua Telegram. Kẻ tấn công, được xác định là một hacker có liên kết với Triều Tiên, đã giả danh là cựu nhà thầu của công ty để thực hiện cuộc tấn công.
Trong bản cập nhật ngày 6 tháng 12 về cuộc điều tra đang diễn ra, Radiant cho biết công ty an ninh mạng Mandiant, được họ thuê, đã kết luận với “độ tin cậy cao” rằng cuộc tấn công này do một tác nhân có liên kết với Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) thực hiện.
Radiant cho biết một nhà phát triển của nền tảng đã nhận được tin nhắn Telegram kèm một tập tin ZIP từ một “cựu nhà thầu đáng tin cậy” vào ngày 11 tháng 9, yêu cầu phản hồi về một dự án mới mà họ đang lên kế hoạch.
“Sau khi xem xét, tin nhắn này bị nghi ngờ có nguồn gốc từ một tác nhân liên kết với DPRK, giả danh cựu nhà thầu. Tập tin ZIP này, khi được chia sẻ để nhận phản hồi từ các nhà phát triển khác, cuối cùng đã phát tán phần mềm độc hại, dẫn đến cuộc xâm nhập tiếp theo”, Radiant cho biết.
Ngày 16 tháng 10, nền tảng DeFi buộc phải ngừng hoạt động thị trường cho vay sau khi hacker chiếm quyền kiểm soát các khóa cá nhân của nhiều bên ký kết và hợp đồng thông minh. Các nhóm hacker Triều Tiên từ lâu đã nhắm mục tiêu vào các nền tảng tiền điện tử, với tổng số tiền đánh cắp lên đến 3 tỷ USD từ năm 2017 đến năm 2023.
Radiant cho biết tập tin ZIP không gây nghi ngờ, vì “việc yêu cầu xem xét các tập tin PDF là điều phổ biến trong môi trường làm việc chuyên nghiệp,” và các nhà phát triển “thường xuyên chia sẻ tài liệu dưới định dạng này.”
Tên miền liên quan đến tập tin ZIP cũng được ngụy trang giống với trang web chính thức của nhà thầu.
Nhiều thiết bị của các nhà phát triển Radiant đã bị xâm phạm trong cuộc tấn công, với giao diện người dùng hiển thị dữ liệu giao dịch hợp lệ trong khi các giao dịch độc hại được ký ngầm phía sau.
“Các đợt kiểm tra và mô phỏng truyền thống không phát hiện bất kỳ sai lệch nào rõ ràng, khiến mối đe dọa gần như không thể nhận ra trong các giai đoạn xem xét thông thường”.
“Cuộc tấn công này được thực hiện một cách liền mạch đến mức, ngay cả khi áp dụng các quy trình chuẩn nghiêm ngặt như mô phỏng giao dịch trên Tenderly, xác minh dữ liệu giao dịch và tuân thủ các quy trình vận hành tiêu chuẩn (SOP) trong từng bước, hacker vẫn có thể xâm phạm nhiều thiết bị của nhà phát triển.”
Radiant Capital tin rằng nhóm hacker chịu trách nhiệm cho vụ tấn công này có tên là “UNC4736,” còn được gọi là “Citrine Sleet,” được cho là có liên kết với cơ quan tình báo chính của Triều Tiên, Cục Trinh sát Tổng hợp (RGB), và có thể là một nhánh của tập đoàn hacker Lazarus Group.
Hacker đã chuyển khoảng 52 triệu USD tiền đánh cắp vào ngày 24 tháng 10.
“Vụ việc này cho thấy ngay cả các SOP nghiêm ngặt, ví cứng, công cụ mô phỏng như Tenderly và các quy trình xem xét thủ công kỹ lưỡng cũng có thể bị qua mặt bởi các hacker có trình độ cao,” Radiant Capital viết trong báo cáo. “Việc phụ thuộc vào ký kết mù quáng và xác minh qua giao diện đầu cuối có thể bị giả mạo đòi hỏi cần phát triển các giải pháp mạnh mẽ hơn ở cấp độ phần cứng để giải mã và xác thực dữ liệu giao dịch”.
Đây không phải lần đầu tiên Radiant bị tấn công trong năm nay. Vào tháng 1, nền tảng này đã ngừng hoạt động thị trường cho vay sau một cuộc tấn công flash loan trị giá 4,5 triệu USD.
Sau hai vụ tấn công trong năm nay, tổng giá trị tài sản khóa (TVL) của Radiant đã giảm mạnh, từ hơn 300 triệu USD vào cuối năm ngoái xuống còn khoảng 5,81 triệu USD tính đến ngày 9 tháng 12, theo DefiLlama.
Disclaimer: Bài viết chỉ có mục đích thông tin, không phải lời khuyên đầu tư. Nhà đầu tư nên tìm hiểu kỹ trước khi ra quyết định. Chúng tôi không chịu trách nhiệm về các quyết định đầu tư của bạn.
Ông Giáo
Theo Cointelegraph
