Hack de $50 millones de Radiant Capital es rastreado hasta ciberdelincuentes norcoreanos

El 16 de octubre de 2024, Radiant Capital, un protocolo cross-chain de préstamos descentralizado desarrollado sobre LayerZero, fue víctima de un ciberataque altamente sofisticado que resultó en una pérdida asombrosa de 50 millones de dólares.

El ataque ha sido vinculado a hackers norcoreanos, marcando otro capítulo alarmante en la creciente ola de ciberdelincuencia que apunta a las finanzas descentralizadas (DeFi).

Informe vincula a actores norcoreanos con el hack de Radiant Capital

Un informe de OneKey, un fabricante de monederos de hardware cripto respaldado por Coinbase, atribuyó el ataque a hackers norcoreanos. El informe se extiende desde una reciente publicación en Medium compartida por Radiant Capital, que proporcionó una actualización del incidente sobre el ataque del 16 de octubre.

Según se informa, Mandiant, una firma líder en ciberseguridad, vinculó aún más la brecha a UNC4736, un grupo alineado con la RPDC también conocido como AppleJeus o Citrine Sleet. Este grupo opera bajo la Oficina General de Reconocimiento (RGB), la principal agencia de inteligencia de Corea del Norte.

La investigación de Mandiant reveló que los atacantes planearon meticulosamente su operación. Colocaron contratos inteligentes maliciosos en múltiples redes blockchain, incluyendo Arbitrum, Binance Smart Chain, Base y Ethereum.

Estos esfuerzos reflejan las capacidades avanzadas de los actores de amenazas respaldados por la RPDC en apuntar al sector DeFi.

La brecha comenzó con un ataque de phishing calculado el 11 de septiembre de 2024. Un desarrollador de Radiant Capital recibió un mensaje de Telegram de un individuo que se hacía pasar por un contratista de confianza. El mensaje incluía un archivo zip que supuestamente contenía un informe de auditoría de contratos inteligentes.

Este archivo, “Penpie_Hacking_Analysis_Report.zip,” estaba cargado con malware conocido como INLETDRIFT, un backdoor de macOS que facilitó el acceso no autorizado a los sistemas de Radiant.

Cuando el desarrollador abrió el archivo, parecía contener un PDF legítimo. Sin embargo, el malware se instaló silenciosamente, estableciendo una conexión de backdoor a un dominio malicioso en atokyonews[.]com.

Esto permitió a los atacantes propagar el malware aún más entre los miembros del equipo de Radiant, obteniendo un acceso más profundo a sistemas sensibles.

La estrategia de los hackers culminó en un ataque de hombre en el medio (MITM). Al explotar dispositivos comprometidos, interceptaron y manipularon solicitudes de transacciones dentro de los monederos Multisig Gnosis de Radiant.

Mientras las transacciones parecían legítimas para los desarrolladores, el malware las alteraba encubiertamente para ejecutar una llamada de transferencia de propiedad, tomando el control de los contratos del pool de préstamos de Radiant.

Ejecución del robo, implicaciones para la industria y lecciones aprendidas

A pesar de la adherencia de Radiant a las mejores prácticas, como el uso de monederos de hardware, simulaciones de transacciones y herramientas de verificación, los métodos de los atacantes eludieron todas las defensas.

En minutos de asegurar la propiedad, los hackers drenaron fondos de los pools de préstamos de Radiant, afectando a la plataforma y sus usuarios.

El hack de Radiant Capital sirve como una advertencia clara para la industria DeFi. Incluso los proyectos que se adhieren a estándares de seguridad rigurosos pueden caer presa de actores de amenazas sofisticados. El incidente destacó vulnerabilidades críticas, incluyendo:

• Riesgos de Phishing: El ataque comenzó con un esquema de suplantación convincente, enfatizando la necesidad de una mayor vigilancia contra el intercambio de archivos no solicitados.
• Firma Ciega: Aunque esenciales, los monederos de hardware a menudo muestran solo detalles básicos de transacciones, lo que dificulta a los usuarios detectar modificaciones maliciosas. Se necesitan soluciones mejoradas a nivel de hardware para decodificar y validar cargas de transacciones.
• Seguridad del Front-End: La dependencia de interfaces front-end para la verificación de transacciones resultó inadecuada. Las interfaces falsificadas permitieron a los hackers manipular datos de transacciones sin ser detectados.
• Debilidades de Gobernanza: La ausencia de mecanismos para revocar transferencias de propiedad dejó los contratos de Radiant vulnerables. Implementar bloqueos de tiempo o requerir transferencias de fondos retrasadas podría proporcionar tiempo de reacción crítico en futuros incidentes.

En respuesta a la brecha, Radiant Capital ha contratado a firmas líderes en ciberseguridad, incluyendo Mandiant, zeroShadow y Hypernative. Estas firmas asisten en la investigación y recuperación de activos. La DAO de Radiant también está colaborando con las fuerzas del orden de Estados Unidos para rastrear y congelar los fondos robados.

En la publicación de Medium, Radiant también reafirmó su compromiso de compartir las lecciones aprendidas y mejorar la seguridad en toda la industria DeFi. La DAO enfatizó la importancia de adoptar marcos de gobernanza sólidos, fortalecer la seguridad a nivel de dispositivo y alejarse de prácticas riesgosas como la firma ciega.

“Parece que las cosas podrían haberse detenido en el paso 1,” comentó un usuario en X.

El incidente de Radiant Capital se alinea con un informe reciente, que indicó cómo los hackers norcoreanos continúan cambiando de táctica.

A medida que los ciberdelincuentes se vuelven más sofisticados, la industria debe adaptarse priorizando la transparencia, medidas de seguridad sólidas y esfuerzos colaborativos para combatir tales ataques.

Fuente