LayerZero上に展開された分散型クロスチェーン貸付プロトコルであるRadiant Capitalが、高度なサイバー攻撃に遭い、13日に約75億円に相当する5000万ドルの損害を受けていたことが明らかになった。
北朝鮮のハッカーと関連付けられており、分散型金融(DeFi)を狙ったサイバー犯罪の増加について新たな警告が出されている。
「北朝鮮の関係者とラディアントキャピタル事件に関連する情報を報告します」
Coinbaseがサポートする暗号資産ハードウェアウォレットメーカーであるOneKeyによる報告書によれば、10月16日の攻撃は北朝鮮のハッカーによるものであるとされています。この報告書は、最近Radiant CapitalがMediumで共有した投稿から派生し、事件に関する最新情報を提供しています。
報告によれば、主要なサイバーセキュリティ企業であるMandiantは、さらにこの侵害を、DPRK(朝鮮民主主義人民共和国)に関連するUNC4736と呼ばれるグループに帰属させました。このグループは、北朝鮮の主要な情報機関である偵察総局(RGB)の下で活動しています。また、別名としてAppleJeusまたはCitrine Sleetとも呼ばれています。
Mandiantの調査によると、攻撃者は戦略を練り、Arbitrum、Binance Smart Chain、Base、Ethereumなど複数のブロックチェーンネットワークに悪意のあるスマートコントラクトを配置する計画を立てた。これらの取り組みは、DeFiセクターを狙ったDPRK支援の脅威行為者の高度な能力を示している。
2024年9月11日にもくろんだフィッシング攻撃がRadiant Capitalに侵入をもたらしました。Radiant Capitalの開発者はTelegramメッセージを受信し、それを信頼できる協力者からのものと勘違いしました。そのメッセージには、「Penpie_Hacking_Analysis_Report.zip」というファイルが添付され、スマートコントラクトの監査報告書が含まれているとされていました。しかし、実際にはこのzipファイルには、Radiantシステムに不正アクセスを可能にするmacOSバックドアマルウェアであるINLETDRIFTが隠し持たれていました。
「開発者がファイルを開くと、中には正規のPDFファイルが入っているように見えました。しかし、実際にはマルウェアが静かにインストールされ、atokyonews[.]comという悪質なドメインへのバックドア接続が確立されました。これにより、攻撃者はRadiantチームのメンバー間でマルウェアを広め、機密システムに深く侵入することができました。」
ハッカーは、中間者攻撃(MITM)を使用して、RadiantのGnosis Safeマルチシグウォレット内の取引リクエストを傍受し、操作することで、攻撃の最高潮に達した。侵害されたデバイスを操作して、開発者には正当な取引に見えるように装いつつ、実際にはマルウェアが所有権移転の呼び出しを密かに実行するように変更し、Radiantの貸付プール契約の制御権を奪い取った。
強盗の実行:業界への影響と教訓
「Radiantはハードウェアウォレットの利用や取引シミュレーション、検証ツールなどの最良の実践を実施していたにもかかわらず、攻撃者はすべての防御策を突破してしまった。Radiantの貸付プールから資金を引き出し、所有権を確立した数分後、ハッカーはプラットフォームとそのユーザーを混乱させた。」
Radiant Capitalのハッキングは、DeFi業界に向けた厳しい警告であり、厳格なセキュリティ基準を守るプロジェクトですら、高度な脅威アクターに攻撃されるリスクがあることを示しました。この出来事は、重要な脆弱性が明らかにされた例と言えます。
- 「フィッシングのリスクは、説得力のある偽の情報を使った攻撃から始まり、不正なファイル共有に対する警戒が必要であることが強調されました。」
- 「ブラインドサイニングとは、ハードウェアウォレットが基本的な取引詳細しか表示しないため、ユーザーが悪意のある変更を検知するのが難しい状況を指します。この問題を解決するためには、取引ペイロードを解読し、検証するためのハードウェアレベルの改良が必要です。」
- 「フロントエンドセキュリティにおいて、取引の検証に依存していたフロントエンドインターフェースの設計が不適切でした。不正なインターフェースにより、ハッカーは取引データを検出されることなく操作できました。」
- “Radiantの契約を脆弱にした要因は、所有権の移転を取り消すメカニズムが不足している点である。この不備は、将来起こりうる出来事に対する重要な対応期間を提供するため、タイムロックの実装や遅延を許す資金移転の要請が役立つ可能性がある。”
「Radiant Capitalは侵害への対応において、Mandiant、zeroShadow、Hypernativeなど主要なサイバーセキュリティ企業を採用しました。これらの企業は調査や資産の回収を支援しています。また、Radiant DAOは米国の法執行機関と連携し、盗まれた資産の追跡と凍結を行っています。」
「RadiantがMediumに投稿した際には、学んだ教訓を共有し、DeFi業界全体のセキュリティを強化することにコミットしたことが再確認されました。DAOは、強力なガバナンスフレームワークの採用やデバイスレベルのセキュリティの向上、ブラインドサイニングなどのリスクのある慣行から離れる重要性が強調されました。」
「Xの特定のユーザーが、ステップ1で行き詰まったようだとコメントしました。」
「Radiant Capitalの事件は、最近の報告によると、北朝鮮のハッカーが戦術を変え続けていることを示しています。サイバー犯罪者の技術はますます高度化しており、業界は透明性や強固なセキュリティ対策を重視し、このような攻撃に対抗するための協力が不可欠です。」
Follow us on:
Twitterアカウント:@yourdailyscrypt とTelegramチャンネル:@thedailyscrypt の公式チャンネル、「X」について述べています。
免責事項 – Disclaimers
当サイトに掲載されている情報は、真心を込めて作成され、一般的な参考情報提供を目的としています。サイトに記載されている情報に基づく一切の行動に関しては、読者自身の責任で行っていただくようお願い申し上げます。
