Radiant Capital ถูกแฮ็กเกอร์เกาหลีเหนือโจรกรรมคริปโตฯ

Radiant Capital แพลตฟอร์มการเงินแบบกระจายศูนย์ (DeFi) เปิดเผยว่ากลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับรัฐเกาหลีเหนือเป็นผู้อยู่เบื้องหลังการโจรกรรมคริปโตฯ มูลค่า 50 ล้านดอลลาร์ ซึ่งเกิดขึ้นจากการโจมตีทางไซเบอร์เมื่อวันที่ 16 ตุลาคมที่ผ่านมา

การระบุผู้กระทำผิดนี้เกิดขึ้นหลังจากการสอบสวนโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์จาก Mandiant ซึ่งยืนยันว่าการโจมตีดังกล่าวดำเนินการโดยกลุ่มแฮ็กเกอร์ที่เกี่ยวข้องกับรัฐเกาหลีเหนือชื่อ Citrine Sleet หรือที่รู้จักกันในนาม UNC4736 และ “AppleJeus”

เหตุการณ์ในเดือนตุลาคม
Radiant Capital เป็นแพลตฟอร์ม DeFi ที่ช่วยให้ผู้ใช้งานสามารถฝาก ถอน และจัดการคริปโตฯ ข้ามเครือข่ายบล็อกเชนหลายเครือข่าย โดยใช้ระบบความปลอดภัยของบล็อกเชน Ethereum ผ่านระบบ Arbitrum Layer 2 และดำเนินการภายใต้ระบบที่ขับเคลื่อนโดยชุมชน ซึ่งผู้ใช้สามารถมีส่วนร่วมในการกำกับดูแลผ่าน RDNT Locke

ในวันที่ 16 ตุลาคม 2024 Radiant ประกาศว่าได้ประสบกับการละเมิดความปลอดภัยมูลค่า 50 ล้านดอลลาร์ อันเนื่องมาจากมัลแวร์ที่มีความซับซ้อน ซึ่งมุ่งเป้าโจมตีนักพัฒนาที่ได้รับความไว้วางใจสามราย อุปกรณ์ของพวกเขาถูกเจาะระบบเพื่อดำเนินธุรกรรมโดยไม่ได้รับอนุญาต

แฮ็กเกอร์ใช้ประโยชน์จากกระบวนการ multi-signature ปกติ รวบรวมลายเซ็นที่ถูกต้องในลักษณะของข้อผิดพลาดในการทำธุรกรรม และขโมยเงินจากตลาด Arbitrum และ Binance Smart Chain (BSC)

การโจมตีครั้งนี้สามารถหลีกเลี่ยงระบบความปลอดภัยของกระเป๋าเงินฮาร์ดแวร์และการตรวจสอบหลายชั้น อีกทั้งการตรวจสอบธุรกรรมทั้งแบบแมนนวลและการจำลองยังดูเหมือนปกติ ซึ่งแสดงถึงความซับซ้อนอย่างยิ่ง

มีสิ่งบ่งชี้ไปที่เกาหลีเหนือ
จากการสอบสวนภายในที่ได้รับความช่วยเหลือจาก Mandiant Radiant สามารถเปิดเผยข้อมูลเพิ่มเติมเกี่ยวกับมัลแวร์ที่ใช้และผู้กระทำผิดได้

การโจมตีเริ่มขึ้นเมื่อวันที่ 11 กันยายน 2024 เมื่อหนึ่งในนักพัฒนาของ Radiant ได้รับข้อความผ่าน Telegram ที่แอบอ้างเป็นอดีตผู้รับจ้าง โดยล่อลวงให้ดาวน์โหลดไฟล์ ZIP ที่เป็นอันตราย

ไฟล์ดังกล่าวมีไฟล์ PDF สำหรับใช้เป็นตัวล่อ และมัลแวร์ macOS ที่ชื่อว่า ‘InletDrift’ ซึ่งเปิดทางให้แฮ็กเกอร์เข้าถึงอุปกรณ์ที่ติดไวรัส

ไฟล์ PDF เป็นเหยื่อล่อที่ใช้ในการโจมตี
Source: Radiant

adiant กล่าวว่า การโจมตีนี้ได้รับการออกแบบและดำเนินการอย่างไร้ที่ติจนสามารถหลีกเลี่ยงมาตรการรักษาความปลอดภัยทั้งหมดที่มี

“การหลอกลวงนี้ดำเนินไปอย่างราบรื่นจนแม้แต่ Radiant ที่ปฏิบัติตามมาตรฐานแนวปฏิบัติที่ดีที่สุด เช่น การจำลองธุรกรรมใน Tenderly การตรวจสอบข้อมูล payload และการปฏิบัติตามมาตรฐานอุตสาหกรรมในทุกขั้นตอน ผู้โจมตีก็ยังสามารถเจาะอุปกรณ์นักพัฒนาหลายรายได้” Radiant อธิบาย

“ส่วนต่อประสานผู้ใช้ด้านหน้าแสดงข้อมูลธุรกรรมที่ดูเหมือนไม่มีอันตราย ในขณะที่ธุรกรรมที่เป็นอันตรายถูกลงนามในเบื้องหลัง การตรวจสอบและการจำลองแบบเดิมไม่พบความผิดปกติ ทำให้ภัยคุกคามแทบจะมองไม่เห็นในระหว่างการตรวจสอบตามปกติ”

Mandiant ประเมินด้วยความมั่นใจสูงว่าการโจมตีครั้งนี้ดำเนินการโดย UNC4736 ซึ่งเป็นกลุ่มเดียวกับที่เคยใช้ประโยชน์จากช่องโหว่ zero-day ใน Google Chrome เมื่อต้นปีนี้

ความพยายามในการกู้คืนเงินที่ถูกขโมย

ด้วยการโจมตีที่สามารถหลีกเลี่ยงมาตรการรักษาความปลอดภัยได้สำเร็จ Radiant จึงเน้นย้ำถึงความจำเป็นในการพัฒนาโซลูชันระดับอุปกรณ์ที่มีประสิทธิภาพมากขึ้นเพื่อเพิ่มความปลอดภัยในการทำธุรกรรม

สำหรับเงินที่ถูกขโมยไป แพลตฟอร์มระบุว่ากำลังทำงานร่วมกับหน่วยงานบังคับใช้กฎหมายของสหรัฐฯ และ zeroShadow เพื่อพยายามกู้คืนเงินในส่วนที่สามารถทำได้

Related CVEs: CVE-2021-26855, CVE-2021-31207, CVE-2021-27065

ที่มา
bleepingcomputer.com

Fomodailys

Fomodailys คือแหล่งข้อมูลข่าวสารที่ครบวงจรสำหรับ Cryptocurrency มุ่งเน้นการนำเสนอเนื้อหาที่น่าเชื่อถือและเข้าใจง่าย เพื่อช่วยให้ทุกคนสามารถก้าวเข้าสู่ยุคใหม่ของการเงินและเทคโนโลยี