Der DeFi-Protokollanbieter Radiant Capital wurde Opfer eines Cyberangriffs, wobei Kryptowährungen im Wert von 50 Millionen US-Dollar entwendet wurden. Die nordkoreanische Gruppe UNC4736 wird von Mandiant für den Angriff verantwortlich gemacht, der durch Social Engineering und komplexe Malware initiiert wurde. Radiant Capital arbeitet mit den Behörden zusammen, um die gestohlenen Gelder zurückzuerlangen und die DeFi-Sicherheit zu verbessern.
Der DeFi-Protokollanbieter Radiant Capital wurde Opfer eines Cyberangriffs, bei dem Kryptowährungen im Wert von 50 Millionen US-Dollar gestohlen wurden. Laut CoinEdition identifizierte das Cybersicherheitsunternehmen Mandiant die Angreifer als UNC4736, eine Gruppe, die mit Nordkorea und dem Reconnaissance General Bureau (RGB) des Landes in Verbindung gebracht wird. Der Vorfall unterstreicht die wachsende Komplexität von Cyberangriffen im DeFi-Bereich und die Notwendigkeit verbesserter Sicherheitsvorkehrungen.
Der Angriff begann am 11. September 2024 mit einer scheinbar harmlosen Telegram-Nachricht an einen Radiant-Entwickler. Der Absender gab sich als ehemaliger Auftragnehmer aus und schickte eine ZIP-Datei, die angeblich dessen Arbeit im Bereich Smart-Contract-Auditing enthielt. Tatsächlich enthielt die Datei jedoch die komplexe Malware INLETDRIFT. Getarnt als PDF-Datei installierte die Malware eine Backdoor auf dem macOS-Gerät des Entwicklers und stellte eine Verbindung zu einer von den Angreifern kontrollierten Domain her. In den darauffolgenden Wochen implementierte UNC4736 bösartige Smart Contracts auf Arbitrum, Binance Smart Chain, Base und Ethereum und plante den Diebstahl akribisch.
Obwohl Radiant Standard-Sicherheitsprotokolle wie Transaktionssimulationen mit Tenderly und Payload-Verifizierung einsetzte, gelang es den Angreifern, Schwachstellen in den Front-End-Schnittstellen auszunutzen und Transaktionsdaten zu manipulieren. Zum Zeitpunkt des Diebstahls waren die Hackeraktionen gut verschleiert, was eine Entdeckung nahezu unmöglich machte.
UNC4736, auch bekannt als AppleJeus oder Citrine Sleet, ist eine bekannte, mit Nordkoreas TEMP.Hermit verbundene Bedrohungsgruppe. Die Gruppe spezialisiert sich auf Cyber-Finanzkriminalität und nutzt oft ausgefeilte Social-Engineering-Techniken, um in Systeme einzudringen. Mandiant schreibt diesen Angriff mit hoher Wahrscheinlichkeit dieser Gruppe zu, basierend auf deren typischen staatlich geförderten Taktiken. Die gestohlenen Gelder wurden innerhalb von Minuten nach dem Diebstahl transferiert, und alle Spuren von Malware und Browser-Erweiterungen, die während des Angriffs verwendet wurden, wurden beseitigt.
Wie Binance News berichtet, hat Radiant Capital einen detaillierten Bericht über den Cyberangriff veröffentlicht. Der Bericht bestätigt die laufenden Ermittlungen und die hohe Wahrscheinlichkeit der Beteiligung nordkoreanischer Akteure. Der Vorfall vom 16. Oktober führte zu einem erheblichen finanziellen Verlust für Radiant Capital. Das Unternehmen arbeitet eng mit Cybersicherheitsexperten zusammen, um das volle Ausmaß des Angriffs zu verstehen und Maßnahmen zur Vermeidung zukünftiger Angriffe zu ergreifen.
Dieser Vorfall verdeutlicht die Schwachstellen aktueller DeFi-Sicherheitspraktiken, insbesondere die Abhängigkeit von Blind Signing und Front-End-Transaktionsverifizierungen. Radiant Capital plädiert für einen branchenweiten Umstieg auf Hardware-Transaktionsverifizierung, um ähnliche Vorfälle zu verhindern. Radiant DAO arbeitet mit Mandiant, zeroShadow, Hypernative und US-Strafverfolgungsbehörden zusammen, um die gestohlenen Gelder aufzuspüren und zurückzuerlangen. Die Bemühungen dauern an, und die Organisation plant, ihre Ergebnisse zu teilen, um die Sicherheitsstandards für das gesamte Krypto-Ökosystem zu verbessern. Cryptorank beziffert den Schaden auf 50 Millionen US-Dollar, was die Hälfte der im Oktober verzeichneten Krypto-Kriminalität ausmacht, die mit 116 Millionen US-Dollar einen Sechsmonatstiefstand erreichte.
Quellen:
