Radiant Capital遭遇5000万美元网络攻击：与朝鲜组织有关联

• Radiant Capital在一次被归因于与朝鲜有关的UNC4736组织的网络攻击中损失了5000万美元。
• 攻击者使用了复杂的恶意软件和社会工程手段绕过了安全协议。
• 这一事件突显了去中心化金融（DeFi）安全中的关键漏洞，敦促整个行业采用硬件级交易验证。

Radiant Capital已确认其在2024年10月16日遭受的毁灭性5000万美元网络攻击的新发现。网络安全公司Mandiant的调查将攻击者识别为UNC4736，这是一个与朝鲜侦察总局（RGB）有关的威胁组织。

这标志着针对去中心化金融（DeFi）的网络攻击复杂性再次令人担忧地上升，显示出该行业迫切需要更强的安全措施。

攻击是如何展开的

攻击始于2024年9月11日，当时一名Radiant开发人员收到了一条看似正常的Telegram消息，发件人冒充为前承包商。消息中附有一个ZIP文件，声称展示了承包商在智能合约审计方面的工作。但其中包含了一种名为INLETDRIFT的复杂恶意软件。

这种恶意软件伪装成合法的PDF文件，在受害者的设备上建立了一个macOS后门，并将其连接到由攻击者控制的外部域。接下来的几周内，UNC4736在Arbitrum、Binance Smart Chain、Base和Ethereum上部署了恶意智能合约，精心策划了这次盗窃。

尽管Radiant遵循了标准的安全协议，如使用Tenderly进行交易模拟和有效载荷验证，攻击者利用前端接口中的漏洞操纵交易数据。到盗窃发生时，黑客已很好地隐藏了他们的行为，使得几乎无法检测。

归因与策略

UNC4736，也被称为AppleJeus或Citrine Sleet，是一个与朝鲜TEMP.Hermit有关的知名威胁组织。该组织专注于网络金融犯罪，通常使用高度先进的社会工程技术渗透系统。Mandiant对该攻击归因于该组织有高度信心，因为他们使用了国家级策略。

被盗资金在盗窃发生后几分钟内被转移，攻击中使用的所有恶意软件和浏览器扩展都被清除。

对DeFi安全的警示

此次漏洞突显了当前DeFi安全实践中的漏洞，特别是对盲签名和前端交易验证的依赖。Radiant Capital呼吁整个行业转向硬件级交易验证，以防止类似事件的发生。

Radiant DAO正在与Mandiant、zeroShadow、Hypernative和美国执法部门合作，追踪和追回被盗资金。努力仍在继续，组织计划分享其发现，以提高更广泛的加密生态系统的安全标准。