A Radiant Capital agora afirma que atores de ameaças norte-coreanas estão por trás do roubo de US$ 50 milhões em criptomoedas, ocorrido após hackers invadirem seus sistemas em um ataque cibernético no dia 16 de outubro.
A atribuição vem após a investigação do incidente, com a assistência de especialistas em cibersegurança da Mandiant, que dizem que o ataque foi conduzido por hackers afiliados ao estado norte-coreano, conhecidos como Citrine Sleet, aka "UNC4736" e "AppleJeus."
Os EUA já haviam alertado que atores de ameaças da Coreia do Norte visavam empresas de criptomoedas, exchanges e companhias de jogos para gerar e lavar fundos em apoio às operações do país.
A Radiant é uma plataforma de finanças descentralizadas (DeFi) que permite aos usuários depositar, emprestar e gerenciar criptomoedas em múltiplas redes blockchain.
A plataforma utiliza a segurança da blockchain Ethereum através do sistema de escalonamento Arbitrum Layer 2 e opera sob um sistema dirigido pela comunidade, permitindo que os usuários participem da governança por meio de lockers RDNT, submetam propostas e votem em iniciativas ativas.
Em 16 de outubro de 2024, a Radiant anunciou que sofreu um rombo de US$ 50M causado por 'malware sofisticado' que visava três desenvolvedores confiáveis, cujos dispositivos foram comprometidos para executar as transações não autorizadas.
Os hackers parecem ter explorado o processo rotineiro de multi-assinatura, coletando assinaturas válidas sob a aparência de erros de transação e roubando fundos dos mercados Arbitrum e Binance Smart Chain (BSC).
O ataque contornou a segurança de wallet hardware e várias camadas de verificação, e as transações pareciam normais durante checagens manuais e de simulação, indicativo de alta sofisticação.
Após uma investigação interna do ataque, auxiliada pela Mandiant, a Radiant pôde agora compartilhar mais informações sobre o malware utilizado e os perpetradores por trás dele.
O ataque começou em 11 de setembro de 2024, quando um desenvolvedor da Radiant recebeu uma mensagem no Telegram forjando um ex-contratado, enganando-o para baixar um arquivo ZIP malicioso.
O arquivo continha um documento PDF para ser usado como isca e um payload de malware para macOS chamado 'InletDrift', que estabeleceu um backdoor no dispositivo infectado.
A Radiant diz que o ataque foi tão bem projetado e executado sem falhas que contornou todas as medidas de segurança existentes.
"Essa decepção foi realizada de maneira tão perfeita que, mesmo com as melhores práticas padrão da Radiant, como simular transações no Tenderly, verificar dados de payload e seguir SOPs padrão da indústria em cada etapa, os atacantes conseguiram comprometer vários dispositivos de desenvolvedores," explicou a Radiant.
As interfaces front-end exibiam dados de transação benignos enquanto transações maliciosas eram assinadas em segundo plano.
Checagens tradicionais e simulações não mostraram discrepâncias óbvias, tornando a ameaça virtualmente invisível durante as fases normais de revisão.
A Mandiant avaliou com alta confiança que o ataque foi conduzido pelo UNC4736, o mesmo grupo de ameaças que foi exposto por explorar uma vulnerabilidade zero-day no Google Chrome no início deste ano.
Dado o sucesso na evasão de suas medidas de segurança, a Radiant sublinha a necessidade de soluções mais robustas, no nível do dispositivo, para aumentar a segurança das transações.
Quanto aos fundos roubados, a plataforma diz que está colaborando com as autoridades policiais dos EUA e com a zeroShadow para recuperar qualquer quantia possível.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...