Nordkoreanische Hacker sind für den Raubüberfall auf Radiant Capital im Wert von 50 Millionen Dollar verantwortlich

In einer erschreckenden Enthüllung hat das dezentralisierte Finanzprojekt (DeFi) Radiant Capital bestätigt, dass nordkoreanische Hacker bei einem ausgeklügelten Angriff im Oktober einen Diebstahl von 50 Millionen US-Dollar orchestriert haben. Bei dem Angriff wurden Malware, Multisignaturprotokolle und ein raffinierter Social-Engineering-Trick ausgenutzt, um Gelder von Kernmärkten abzuzweigen, was die Plattform und ihre Benutzer ins Wanken brachte.

Wie der Angriff ablief

Der Raubüberfall begann laut dem Obduktionsbericht von Radiant im September mit einem gezielten Phishing-Angriff. Ein Entwickler erhielt eine Telegram-Nachricht von einem Konto, das sich als vertrauenswürdiger ehemaliger Auftragnehmer ausgab. Die Nachricht enthielt eine komprimierte PDF-Datei, die angeblich mit einer Möglichkeit zur Prüfung von Smart Contracts zusammenhing. Die scheinbar routinemäßige Anfrage hatte verheerende Folgen.

Als der Entwickler die Datei zur Rückmeldung freigab, wurden mehrere Geräte mit Inletdrift infiziert, einer Backdoor-Malware. Das Schadprogramm ermöglichte es Angreifern, die Systeme der Entwickler zu überwachen und zu manipulieren, und bereitete so den Boden für den Einbruch am 16. Oktober. Durch die Infektion von drei Kernentwicklern verschafften sich die Hacker während eines routinemäßigen Emissionsanpassungsprozesses Zugriff auf Radiants Multi-Signatur-Wallet.

Eine betrügerische Operation

Die Angreifer führten betrügerische Transaktionen aus, ohne dass es zu Warnsignalen kam. Dies gelang ihnen mit einem subversiven Trick, mit dem sie das Safe{Wallet}-Verifizierungssystem von Radiant täuschten. Die Wallet-Schnittstelle zeigte den Entwicklern legitime Transaktionsdaten an und maskierte so die im Hintergrund stattfindenden bösartigen Aktivitäten.

Radiant gab bekannt, dass die gestohlenen Gelder über offene Genehmigungen von den Benutzerkonten abgehoben wurden. In einer Erklärung erklärte das Unternehmen:

“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”

Die Hacker setzten bösartige Smart Contracts in mehreren Blockchain-Netzwerken ein, darunter Arbitrum , Base , Binance Smart Chain und Ethereum . Nachdem der Raubüberfall abgeschlossen war, entfernten sie schnell Spuren der Malware und der zugehörigen Browsererweiterungen, um ihre Spuren zu verwischen.

Zuordnung zu nordkoreanischen Hackern

Das Cybersicherheitsunternehmen Mandiant , das den Einbruch untersuchte, führte den Angriff auf einen vom nordkoreanischen Staat unterstützten Bedrohungsakteur namens UNC4736 zurück. Die Gruppe, die auch als AppleJeus oder Citrine Sleet bezeichnet wird, operiert unter dem Reconnaissance General Bureau (RGB) von Pjöngjang, einem ausländischen Geheimdienst. Mandiant erklärte:

“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”

UNC4736 hat in der Vergangenheit Kryptowährungsplattformen ins Visier genommen, um das nordkoreanische Regime zu finanzieren und internationale Sanktionen zu umgehen. Die Gruppe ist berüchtigt dafür, mit gefälschten Stellenangeboten und bösartigen Dokumenten in Organisationen einzudringen, eine Taktik, die sich beim Angriff auf Radiant Capital widerspiegelt.

Die Folgen und die daraus gezogenen Lehren

Der Raubüberfall war ein schwerer Schlag für Radiant Capital, der die Liquidität des Unternehmens aufzehrte und das Vertrauen der Benutzer schädigte. Obwohl das Projekt seitdem seine Sicherheitsprotokolle verbessert hat, zeigt der Vorfall die Schwachstellen auf, die DeFi-Plattformen innewohnen.

Zu den wichtigsten Erkenntnissen für Benutzer und Entwickler zählen:

1. Vorsicht vor Social Engineering: Überprüfen Sie unerwartete Nachrichten immer, insbesondere wenn es sich um Stellenangebote oder Dateidownloads handelt.
2. Härten Sie Multi-Signatur-Prozesse: Stärken Sie die Überprüfungsmechanismen für Multi-Signatur-Transaktionen, um potenzielle Anomalien zu erkennen.
3. Investieren Sie in die Malware-Erkennung: Verwenden Sie erweiterte Bedrohungserkennungstools, um Backdoor-Malware und andere komplexe Bedrohungen zu identifizieren.

Der Raubüberfall auf Radiant Capital ist ein deutliches Beispiel für die zunehmende Raffinesse von Cyberkriminellen, insbesondere staatlich geförderter Gruppen wie Nordkoreas UNC4736. Während das DeFi-Ökosystem weiter wächst, wird es auch für Bedrohungsakteure attraktiver, die auf hohe Gewinne aus sind. Im anhaltenden Kampf um die Sicherung dezentraler Finanzen wird es von entscheidender Bedeutung sein, die Abwehrmaßnahmen zu stärken und die Wachsamkeit von Entwicklern und Benutzern zu fördern.