ラジアント：元請負業者を装った北朝鮮による5000万ドルのハッキング

By Stephen Katte, CoinTelegraph; Compiled by Tao Zhu, Golden Finance

Radiant Capitalは、10月に同社の分散型金融（DeFi）プラットフォームが5000万ドル規模のハッキングを受けたと発表した。ハッカーは元請負業者を装った北朝鮮系ハッカーによって実行されたマルウェアをテレグラム経由で送信した。

Radiantは12月6日の調査アップデートで、同社と契約しているサイバーセキュリティ企業Mandiantが「この攻撃は北朝鮮とつながりのある脅威行為者によって実行されたという確信度が高い」と評価したと述べた。

同プラットフォームによると、9月11日、Radiantの開発者の1人が「信頼できる元請負人」からZIPファイルを含むテレグラムメッセージを受け取り、計画していた新しいプロジェクトに関するフィードバックを求めたという。

「確認したところ、このメッセージは元請負業者を装った北朝鮮系の脅威行為者からのものであると疑われました。 「このZIPファイルは、フィードバックのために他の開発者の間で共有されると、最終的にマルウェアを拡散し、その後の侵入を可能にしました。

10月16日、ハッカーが複数の署名者の秘密鍵とスマートコントラクトを掌握し、DeFiプラットフォームは融資マーケットプレイスを停止せざるを得なくなりました。北朝鮮のハッカーグループは以前から暗号通貨プラットフォームを標的にしており、2017年から2023年の間に30億ドル相当の暗号通貨を盗んだ。

ソース：ラディアント・キャピタル

Radiantは、「専門的な環境ではPDFの要求を確認するのは日常的なこと」であり、開発者は「このフォーマットで文書を共有することがよくある」ため、この文書が他の疑惑を引き起こすことはなかったと述べています。

ZIPファイルに関連付けられたドメインも、請負業者の正規サイトを偽装していました。

攻撃中に複数のRadiant開発者デバイスが侵害され、フロントエンドのインターフェイスが良性のトランザクションのデータを表示する一方で、悪意のあるトランザクションがバックグラウンドで署名されていました。

「従来のチェックやシミュレーションでは大きな違いは見られず、通常のレビュー段階では脅威は事実上見えませんでした。

「この偽装は非常にシームレスに実行されるため、Tenderlyでのトランザクションのエミュレート、ペイロードデータの検証、あらゆる段階での業界標準のSOPに従うといったラディアントの標準的なベストプラクティスを用いても、攻撃者は複数の開発者デバイスを侵害することができます。とRadiantは書いています。

悪意のあるハッカー集団が使用する可能性のあるフィッシングPDFの例。出典：Radiant Capital

Radiant Capitalは、この件に関与している脅威行為者は「UNC4736」として知られ、「Citrine Sleet」としても知られていると考えています。この件に関与した脅威行為者は、「UNC4736」、別名「Citrine Sleet」として知られており、北朝鮮の主要な諜報機関である偵察総局（RGB）に関連していると考えられており、ハッキング組織Lazarus Groupの分派であると推定されています。

ハッカーは10月24日、盗んだ資金約5,200万ドルを送金しました。

「この事件は、厳格なSOP、ハードウェアウォレット、Tenderlyのようなシミュレーションツール、慎重な人によるレビューでさえ、非常に洗練された脅威行為者によって迂回される可能性があることを示しています」と、ラディアント・キャピタルは更新に記しています。

「なりすましの可能性があるブラインドシグネチャとフロントエンドの検証に依存するには、トランザクションのペイロードをデコードして検証する、より堅牢なハードウェアレベルのソリューションの開発が必要です。

ラディアントが今年攻撃を受けたのはこれが初めてではない。同プラットフォームは1月、450万ドルのフラッシュレンディング侵害をめぐって、融資マーケットプレイスを一時停止しました。

DefiLlamaによると、今年に入り2件の脆弱性が悪用された後、ラディアントのロックイン総額は昨年末の3億ドル以上から12月9日には約581万ドルまで大幅に減少した。