في 16 أكتوبر 2024، تعرضت راديانت كابيتال، وهي بروتوكول إقراض لامركزي عبر السلاسل مبني على LayerZero، لهجوم إلكتروني متطور للغاية نتج عنه خسارة مذهلة قدرها 50 مليون دولار.
تم ربط الهجوم منذ ذلك الحين بقراصنة كوريين شماليين، مما يشير إلى فصل مقلق آخر في موجة الجريمة الإلكترونية المتزايدة التي تستهدف التمويل اللامركزي (DeFi).
تقرير: ربط ممثلين كوريين شماليين بحادثة راديانت كابيتال
:تقرير من OneKey، وهي شركة مصنعة لمحافظ الأجهزة المشفرة مدعومة من Coinbase، نسب الهجوم إلى قراصنة كوريين شماليين. يمتد التقرير من منشور حديث على ميديوم شاركته راديانت كابيتال، والذي قدم تحديثًا للحادثة في هجوم 16 أكتوبر.
:أفادت التقارير أن Mandiant، وهي شركة رائدة في مجال الأمن السيبراني، ربطت الاختراق أيضًا بمجموعة UNC4736، وهي مجموعة متحالفة مع كوريا الشمالية تُعرف أيضًا باسم AppleJeus أو Citrine Sleet. تعمل هذه المجموعة تحت مكتب الاستطلاع العام (RGB)، وهي وكالة الاستخبارات الرئيسية في كوريا الشمالية.
:كشفت تحقيقات Mandiant أن المهاجمين خططوا لعمليتهم بدقة. قاموا بنشر عقود ذكية خبيثة عبر شبكات بلوكتشين متعددة، بما في ذلك Arbitrum، Binance Smart Chain، Base، وإيثريوم. تعكس هذه الجهود القدرات المتقدمة للجهات المهددة المدعومة من كوريا الشمالية في استهداف قطاع DeFi.
بدأ الاختراق بهجوم تصيد محسوب في 11 سبتمبر 2024. تلقى مطور في راديانت كابيتال رسالة عبر تليجرام من شخص ينتحل صفة مقاول موثوق. تضمنت الرسالة ملفًا مضغوطًا يُزعم أنه يحتوي على تقرير تدقيق لعقد ذكي. كان هذا الملف، "Penpie_Hacking_Analysis_Report.zip"، محملًا ببرمجيات خبيثة تُعرف باسم INLETDRIFT، وهي باب خلفي لنظام macOS سهل الوصول غير المصرح به إلى أنظمة راديانت.
عندما فتح المطور الملف، بدا أنه يحتوي على ملف PDF شرعي. ومع ذلك، قامت البرمجيات الخبيثة بتثبيت نفسها بصمت، مما أنشأ اتصالًا خلفيًا بنطاق ضار في atokyonews[.]com. سمح ذلك للمهاجمين بنشر البرمجيات الخبيثة بشكل أكبر بين أعضاء فريق راديانت، مما أتاح لهم الوصول الأعمق إلى الأنظمة الحساسة.
بلغت استراتيجية القراصنة ذروتها في هجوم رجل في الوسط (MITM). من خلال استغلال الأجهزة المخترقة، اعترضوا وعبثوا بطلبات المعاملات داخل محافظ Gnosis Safe Multisig الخاصة براديانت. بينما بدت المعاملات شرعية للمطورين، قامت البرمجيات الخبيثة بتغييرها سرًا لتنفيذ استدعاء نقل الملكية، مما استولى على عقود مجموعة الإقراض الخاصة براديانت.
تنفيذ السرقة، تداعيات الصناعة والدروس المستفادة
رغم التزام راديانت بأفضل الممارسات، مثل استخدام المحافظ المادية، ومحاكاة المعاملات، وأدوات التحقق، تجاوزت طرق المهاجمين جميع الدفاعات. في غضون دقائق من تأمين الملكية، قام القراصنة بسحب الأموال من مجمعات الإقراض الخاصة براديانت، مما ترك المنصة ومستخدميها في حالة صدمة.
يعتبر اختراق راديانت كابيتال تحذيرًا صارخًا لصناعة التمويل اللامركزي. حتى المشاريع التي تلتزم بمعايير الأمان الصارمة يمكن أن تقع ضحية لمهاجمين ذوي تهديدات متطورة. أبرز الحادث نقاط ضعف حرجة، بما في ذلك:
- مخاطر التصيد الاحتيالي: بدأ الهجوم بمخطط انتحال مقنع، مما يؤكد الحاجة إلى زيادة اليقظة ضد مشاركة الملفات غير المرغوب فيها.
- التوقيع الأعمى: رغم أهميته، تعرض المحافظ المادية غالبًا تفاصيل أساسية فقط للمعاملات، مما يجعل من الصعب على المستخدمين اكتشاف التعديلات الخبيثة. هناك حاجة إلى حلول محسنة على مستوى الأجهزة لفك تشفير والتحقق من حمولات المعاملات.
- أمان الواجهة الأمامية: أثبت الاعتماد على واجهات الواجهة الأمامية للتحقق من المعاملات عدم كفايته. مكنت الواجهات المزيفة القراصنة من التلاعب ببيانات المعاملات دون اكتشافها.
- ضعف الحوكمة: غياب الآليات لإلغاء نقل الملكية ترك عقود راديانت عرضة للخطر. يمكن أن يوفر تنفيذ الأقفال الزمنية أو طلب تأخير في نقل الأموال وقتًا حرجًا للتفاعل في الحوادث المستقبلية.
ردًا على الاختراق، قامت راديانت كابيتال بالتعاون مع شركات الأمن السيبراني الرائدة، بما في ذلك مانديانت، زيرو شادو، وهايبرناتيف. تساعد هذه الشركات في التحقيق واستعادة الأصول. كما يتعاون داو راديانت مع سلطات إنفاذ القانون الأمريكية لتتبع وتجميد الأموال المسروقة.
في منشور على ميديوم، أكدت راديانت أيضًا التزامها بمشاركة الدروس المستفادة وتعزيز الأمان عبر صناعة التمويل اللامركزي. شدد داو على أهمية تبني أطر حوكمة قوية، وتعزيز الأمان على مستوى الأجهزة، والابتعاد عن الممارسات الخطرة مثل التوقيع الأعمى.
علق أحد المستخدمين على X: “يبدو أن الأمور كان يمكن أن تتوقف عند الخطوة 1”.
يتماشى حادث راديانت كابيتال مع تقرير حديث، أشار إلى كيفية استمرار القراصنة الكوريين الشماليين في تغيير تكتيكاتهم. مع تزايد تعقيد مجرمي الإنترنت، يجب على الصناعة التكيف من خلال إعطاء الأولوية للشفافية، واتخاذ تدابير أمان قوية، والجهود التعاونية لمكافحة مثل هذه الهجمات.