MÜNCHEN (IT BOLTWISE) – Ein bemerkenswerter Cyberangriff auf die DeFi-Plattform Radiant Capital hat die Aufmerksamkeit der Sicherheitsbranche auf sich gezogen. Der Angriff, der im Oktober stattfand, führte zu einem Verlust von 50 Millionen US-Dollar und wird einem nordkoreanischen Hacker zugeschrieben, der sich als ehemaliger Auftragnehmer ausgab.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
Die DeFi-Plattform Radiant Capital wurde im Oktober Opfer eines raffinierten Cyberangriffs, bei dem 50 Millionen US-Dollar gestohlen wurden. Der Angriff wurde durch Malware ermöglicht, die über Telegram von einem Hacker mit Verbindungen zu Nordkorea verschickt wurde. Der Hacker gab sich als ehemaliger Auftragnehmer aus, um das Vertrauen der Entwickler zu gewinnen.
In einem Update vom 6. Dezember erklärte Radiant Capital, dass das beauftragte Cybersicherheitsunternehmen Mandiant mit hoher Sicherheit den Angriff einem nordkoreanischen Bedrohungsakteur zuschreibt. Der Angriff begann mit einer Nachricht an einen Radiant-Entwickler, die eine ZIP-Datei von einem vermeintlich vertrauenswürdigen ehemaligen Auftragnehmer enthielt.
Die ZIP-Datei, die zur Überprüfung an andere Entwickler weitergeleitet wurde, enthielt Malware, die den späteren Einbruch ermöglichte. Am 16. Oktober musste Radiant Capital seine Kreditmärkte stoppen, nachdem der Hacker die Kontrolle über mehrere private Schlüssel und Smart Contracts erlangt hatte.
Nordkoreanische Hackergruppen haben in der Vergangenheit immer wieder Krypto-Plattformen ins Visier genommen und zwischen 2017 und 2023 insgesamt 3 Milliarden US-Dollar gestohlen. Die Datei erweckte keine Verdachtsmomente, da Anfragen zur Überprüfung von PDFs in professionellen Umgebungen Routine sind.
Mehrere Entwicklergeräte von Radiant wurden während des Angriffs kompromittiert, und die Front-End-Schnittstellen zeigten harmlose Transaktionsdaten an, während im Hintergrund bösartige Transaktionen signiert wurden. Traditionelle Überprüfungen und Simulationen zeigten keine offensichtlichen Abweichungen, was die Bedrohung während normaler Überprüfungsphasen nahezu unsichtbar machte.
Radiant Capital glaubt, dass der verantwortliche Bedrohungsakteur als UNC4736 bekannt ist, auch als Citrine Sleet bezeichnet, der mit Nordkoreas Hauptnachrichtendienst, dem Reconnaissance General Bureau, in Verbindung steht. Die Hacker bewegten etwa 52 Millionen US-Dollar der gestohlenen Gelder am 24. Oktober.
Dieser Vorfall zeigt, dass selbst strenge SOPs, Hardware-Wallets, Simulationstools wie Tenderly und sorgfältige menschliche Überprüfungen von hochentwickelten Bedrohungsakteuren umgangen werden können. Radiant Capital betont die Notwendigkeit stärkerer, hardwarebasierter Lösungen zur Dekodierung und Validierung von Transaktionsdaten.
Es ist nicht das erste Mal, dass Radiant in diesem Jahr kompromittiert wurde. Die Plattform musste im Januar ihre Kreditmärkte nach einem Flash-Loan-Angriff in Höhe von 4,5 Millionen US-Dollar stoppen. Nach den beiden Angriffen in diesem Jahr ist der Gesamtwert der gesperrten Vermögenswerte von über 300 Millionen US-Dollar Ende letzten Jahres auf etwa 5,81 Millionen US-Dollar gesunken.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.