Pada 16 Oktober 2024, Radiant Capital, sebuah protokol pinjaman lintas chain terdesentralisasi yang dibangun di atas LayerZero, menjadi korban serangan siber yang sangat canggih yang mengakibatkan kerugian sebesar US$50 juta.
Serangan ini telah dikaitkan dengan peretas Korea Utara, menandai babak mengkhawatirkan lainnya dalam gelombang kejahatan siber yang semakin meningkat yang menargetkan keuangan terdesentralisasi (DeFi).
Laporan Hubungkan Aktor Korea Utara dengan Insiden Radiant Capital
Sebuah laporan dari OneKey, produsen dompet perangkat keras kripto yang didukung oleh Coinbase, mengaitkan serangan ini dengan peretas Korea Utara. Laporan ini berasal dari posting medium terbaru yang dibagikan oleh Radiant Capital, yang memberikan pembaruan insiden pada serangan 16 Oktober.
Konon, Mandiant, sebuah perusahaan keamanan siber terkemuka, lebih lanjut mengaitkan pelanggaran ini dengan UNC4736, sebuah kelompok yang berafiliasi dengan DPRK yang juga dikenal sebagai AppleJeus atau Citrine Sleet. Kelompok ini beroperasi di bawah Biro Pengintaian Umum (RGB), badan intelijen utama Korea Utara.
Penyelidikan Mandiant mengungkapkan bahwa para penyerang merencanakan operasi mereka dengan cermat. Mereka menempatkan smart contract berbahaya di berbagai jaringan blockchain, termasuk Arbitrum, Binance Smart Chain, Base, dan Ethereum. Upaya ini mencerminkan kemampuan canggih dari aktor ancaman yang didukung DPRK dalam menargetkan sektor DeFi.
Pelanggaran dimulai dengan serangan phishing yang terencana pada 11 September 2024. Seorang pengembang Radiant Capital menerima pesan Telegram dari seseorang yang menyamar sebagai kontraktor tepercaya. Pesan tersebut menyertakan file zip yang diklaim berisi laporan audit smart contract. File ini, “Penpie_Hacking_Analysis_Report.zip,” mengandung malware yang dikenal sebagai INLETDRIFT, sebuah backdoor macOS yang memfasilitasi akses tidak sah ke sistem Radiant.
Ketika pengembang membuka file tersebut, file itu tampak berisi PDF yang sah. Namun, malware tersebut diam-diam menginstal dirinya sendiri, membangun koneksi backdoor ke domain berbahaya di atokyonews[.]com. Ini memungkinkan para penyerang untuk menyebarkan malware lebih lanjut di antara anggota tim Radiant, mendapatkan akses lebih dalam ke sistem sensitif.
Strategi para peretas mencapai puncaknya dalam serangan man-in-the-middle (MITM). Dengan mengeksploitasi perangkat yang telah dikompromikan, mereka mencegat dan memanipulasi permintaan transaksi dalam dompet Multisig Gnosis Safe milik Radiant. Sementara transaksi tampak sah bagi pengembang, malware tersebut diam-diam mengubahnya untuk mengeksekusi panggilan transfer Kepemilikan, merebut kendali atas kontrak pool pinjaman Radiant.
Pelaksanaan Perampokan, Implikasi Industri, dan Pelajaran yang Dipetik
Meski Radiant mematuhi praktik terbaik, seperti menggunakan dompet perangkat keras, simulasi transaksi, dan alat verifikasi, metode para penyerang berhasil melewati semua pertahanan. Dalam hitungan menit setelah mengamankan kepemilikan, para peretas menguras dana dari pool pinjaman Radiant, meninggalkan platform dan penggunanya dalam keadaan terkejut.
Peretasan Radiant Capital menjadi peringatan keras bagi industri DeFi. Bahkan proyek yang mematuhi standar keamanan ketat dapat menjadi korban aktor ancaman yang canggih. Insiden ini menyoroti kerentanan kritis, termasuk:
- Risiko Phishing: Serangan dimulai dengan skema penyamaran yang meyakinkan, menekankan perlunya kewaspadaan lebih tinggi terhadap berbagi file yang tidak diminta.
- Blind Signing: Meskipun penting, dompet perangkat keras sering kali hanya menampilkan detail transaksi dasar, membuat pengguna sulit mendeteksi modifikasi berbahaya. Solusi tingkat perangkat keras yang lebih baik diperlukan untuk mendekode dan memvalidasi payload transaksi.
- Keamanan Front-End: Ketergantungan pada antarmuka front-end untuk verifikasi transaksi terbukti tidak memadai. Antarmuka yang dipalsukan memungkinkan peretas memanipulasi data transaksi tanpa terdeteksi.
- Kelemahan Tata Kelola: Tidak adanya mekanisme untuk mencabut transfer kepemilikan membuat kontrak Radiant rentan. Menerapkan penguncian waktu atau memerlukan penundaan transfer dana dapat memberikan waktu reaksi yang kritis dalam insiden mendatang.
Menanggapi pelanggaran ini, Radiant Capital telah melibatkan perusahaan keamanan siber terkemuka, termasuk Mandiant, zeroShadow, dan Hypernative. Perusahaan-perusahaan ini membantu dalam penyelidikan dan pemulihan aset. Radiant DAO juga bekerja sama dengan penegak hukum AS untuk melacak dan membekukan dana yang dicuri.
Dalam posting Medium, Radiant juga menegaskan kembali komitmennya untuk berbagi pelajaran yang dipetik dan meningkatkan keamanan di seluruh industri DeFi. DAO menekankan pentingnya mengadopsi kerangka tata kelola yang kuat, memperkuat keamanan tingkat perangkat, dan menjauh dari praktik berisiko seperti blind signing.
“Nampaknya semuanya bisa berhenti di langkah 1,” komentar seorang pengguna di X.
Insiden Radiant Capital sejalan dengan laporan terbaru, yang menunjukkan bagaimana peretas Korea Utara terus mengubah taktik. Seiring dengan semakin canggihnya para penjahat siber, industri harus beradaptasi dengan memprioritaskan transparansi, langkah-langkah keamanan yang kuat, dan upaya kolaboratif untuk melawan serangan semacam itu.
Penyangkalan
Seluruh informasi yang terkandung dalam situs kami dipublikasikan dengan niat baik dan bertujuan memberikan informasi umum semata. Tindakan apa pun yang dilakukan oleh para pembaca atas informasi dari situs kami merupakan tanggung jawab mereka pribadi.
Selain itu, sebagian artikel di situs ini merupakan hasil terjemahan AI dari versi asli BeInCrypto yang berbahasa Inggris.
