Nordkoreanische Hacker erbeuteten im Oktober durch einen ausgeklügelten Angriff auf die DeFi-Plattform Radiant Capital rund 50 Millionen Dollar. Mittels einer manipulierten PDF-Datei infiltrierten sie die Systeme von Radiant Capital und führten einen Man-in-the-Middle-Angriff durch, um die Kontrolle über die Gelder zu erlangen. Der Vorfall unterstreicht die wachsende Bedrohung durch Cyberkriminalität im DeFi-Bereich und die Notwendigkeit verbesserter Sicherheitsprotokolle.
Im Oktober wurde die dezentrale Finanzplattform Radiant Capital Opfer eines ausgeklügelten Hackerangriffs, bei dem rund 50 Millionen Dollar gestohlen wurden. Wie Bitcoin.com berichtet, waren nordkoreanische Hacker für den Angriff verantwortlich. Sie gaben sich als ehemaliger Auftragnehmer aus und übermittelten den Entwicklern von Radiant Capital eine mit Malware infizierte PDF-Datei.
Der Angriff begann am 11. September mit einer Telegram-Nachricht. Ein Entwickler von Radiant Capital erhielt eine Nachricht von einer Person, die sich als vertrauenswürdiger ehemaliger Auftragnehmer ausgab und um Feedback zu einem neuen Projekt bat. Die Nachricht enthielt einen Link zu einer ZIP-Datei mit einer PDF-Datei, die angeblich einen Bericht über einen Sicherheitsvorfall bei einem anderen Kryptowährungsunternehmen enthielt. Wie sich später herausstellte, stammte die Nachricht von einem nordkoreanischen Hacker, der die Identität des Auftragnehmers gefälscht hatte.
Die ZIP-Datei enthielt eine getarnte ausführbare Datei namens INLETDRIFT. Beim Öffnen installierte diese Schadsoftware auf dem macOS-Gerät des Entwicklers und gewährte den Angreifern Zugriff auf das System. Die Malware kommunizierte mit einem von den Hackern kontrollierten Server. Der kompromittierte Entwickler teilte die Datei mit anderen Teammitgliedern, wodurch sich die Malware weiter ausbreitete.
Die Hacker nutzten ihren Zugriff, um einen Man-in-the-Middle-Angriff (MITM) durchzuführen. Obwohl Radiant Capital zur Sicherheit Multisig-Wallets von Gnosis Safe verwendete, fing die Malware Transaktionsdaten ab und manipulierte diese. Auf den Bildschirmen der Entwickler erschienen die Transaktionen legitim, tatsächlich ersetzten die Hacker sie jedoch durch bösartige Anweisungen, die auf die Eigentumsrechte an den Lending-Pool-Verträgen abzielten. Wie Cointelegraph berichtet, wurden dabei auch Ledger Wallets kompromittiert, indem die Entwickler dazu gebracht wurden, eine "transfer ownership()"-Funktion zu autorisieren, wodurch die Hacker die Kontrolle über die Gelder von Radiant Capital erlangten.
Innerhalb von drei Minuten räumten die Hacker die Gelder ab, entfernten Backdoors und löschten Spuren ihrer Aktivitäten, wie DMNews berichtet. Dieser Angriff verdeutlicht die zunehmende Komplexität von Cyberbedrohungen und die Notwendigkeit robusterer Sicherheitsprotokolle im DeFi-Sektor. Radiant Capital arbeitet mit den US-Strafverfolgungsbehörden zusammen, um die gestohlenen Vermögenswerte einzufrieren.
Die Sicherheitsfirma Mandiant identifizierte die nordkoreanische Hackergruppe AppleJeus oder Citrine Sleet als Urheber des Angriffs. Wie SecurityWeek berichtet, ist diese Gruppe dem nordkoreanischen Reconnaissance General Bureau (RGB) zugeordnet und für zahlreiche Angriffe auf Kryptowährungsunternehmen bekannt. US-Behörden, Microsoft und Google haben bereits mehrfach vor Angriffen dieser Gruppe gewarnt. Laut UN-Ermittlern hat Nordkorea zwischen 2017 und 2023 durch Angriffe auf Kryptowährungsplattformen rund 3 Milliarden Dollar erbeutet.
Radiant Capital betonte die Notwendigkeit von mehr Transparenz auf Geräteebene im DeFi-Bereich, um sich gegen immer raffiniertere Angriffe zu schützen. Der Vorfall unterstreicht die Bedeutung von erhöhter Wachsamkeit, stärkeren Sicherheitsprotokollen und einer robusten Governance von Vermögenswerten, um solche Vorfälle in Zukunft zu verhindern.
Quellen:
