Radiant Capital ha informado que un hackeo de 50 millones de dólares en su plataforma de finanzas descentralizadas (DeFi) en octubre fue realizado mediante un malware enviado a través de Telegram por un hacker alineado con Corea del Norte que se hizo pasar por un excontratista.
Radiant dijo en una actualización del 6 de diciembre sobre la investigación en curso que su empresa contratada de ciberseguridad, Mandiant, ha evaluado "con alta confianza que este ataque es atribuible a un actor de amenazas con nexos en la República Popular Democrática de Corea (RPDC)”.
La plataforma informó que un desarrollador de Radiant recibió un mensaje en Telegram con un archivo ZIP de un "antiguo contratista de confianza" el 11 de septiembre solicitando comentarios sobre un nuevo proyecto que estaba planeando.
“Tras revisar, se sospecha que este mensaje se originó de un actor de amenazas alineado con la RPDC que se hizo pasar por el excontratista”, indicó. “Este archivo ZIP, cuando se compartió para obtener comentarios entre otros desarrolladores, finalmente entregó un malware que facilitó la posterior intrusión”.
El 16 de octubre, la plataforma DeFi se vio obligada a detener sus mercados de préstamos después de que un hacker obtuviera control de las claves privadas de varios firmantes y contratos inteligentes. Los grupos de hackers norcoreanos han tenido como objetivo las plataformas de criptomonedas durante mucho tiempo y han robado 3,000 millones de dólares en criptomonedas entre 2017 y 2023.
Fuente: Radiant Capital
Radiant afirmó que el archivo no generó ninguna otra sospecha porque “las solicitudes para revisar archivos PDF son rutinarias en entornos profesionales”, y los desarrolladores “frecuentemente comparten documentos en este formato”.
El dominio asociado con el archivo ZIP también suplantó el sitio web legítimo del contratista.
Varios dispositivos de desarrolladores de Radiant fueron comprometidos durante el ataque, y las interfaces front-end mostraron datos de transacciones benignas mientras que en el fondo se firmaban transacciones maliciosas.
“Las verificaciones y simulaciones tradicionales no mostraron discrepancias evidentes, haciendo que la amenaza fuera prácticamente invisible durante las etapas normales de revisión”, añadió.
“Este engaño se llevó a cabo de manera tan fluida que, incluso con las mejores prácticas estándar de Radiant, como simular transacciones en Tenderly, verificar los datos de las cargas útiles y seguir los procedimientos operativos estándar de la industria en cada paso, los atacantes lograron comprometer múltiples dispositivos de desarrolladores”, escribió Radiant.
Ejemplo de un PDF señuelo que podría ser utilizado por un grupo de hackers malintencionados. Fuente: Radiant Capital
Radiant Capital cree que el actor de amenaza responsable es conocido como “UNC4736”, también conocido como “Citrine Sleet”, que se cree está alineado con la principal agencia de inteligencia de Corea del Norte, el Buró General de Reconocimiento (RGB), y se especula que es un subgrupo del colectivo de hackers Lazarus Group.
Los hackers movieron aproximadamente 52 millones de dólares de los fondos robados del incidente el 24 de octubre.
“Este incidente demuestra que incluso los procedimientos operativos estándar rigurosos, las billeteras de hardware, las herramientas de simulación como Tenderly y las revisiones humanas cuidadosas pueden ser eludidos por actores de amenazas altamente avanzados”, escribió Radiant Capital en su actualización.
“La dependencia de la firma ciega y las verificaciones de front-end que pueden ser suplantadas exige el desarrollo de soluciones más sólidas a nivel de hardware para decodificar y validar las cargas útiles de las transacciones”, añadió.
No es la primera vez que Radiant ha sido comprometido este año. La plataforma detuvo los mercados de préstamos en enero tras un exploit de préstamo relámpago de 4.5 millones de dólares.
Después de los dos exploits de este año, el valor total bloqueado de Radiant ha caído significativamente, de más de 300 millones de dólares a finales del año pasado a aproximadamente 5.81 millones de dólares al 9 de diciembre, según DefiLlama.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.