16 Ekim 2024’te, LayerZero üzerine inşa edilmiş merkeziyetsiz bir zincirler arası borç verme protokolü olan Radiant Capital, son derece sofistike bir siber saldırının kurbanı oldu ve bu saldırı sonucunda 50 milyon dolar gibi şaşırtıcı bir kayıp yaşandı.
Saldırı, merkeziyetsiz finans (DeFi) sektörünü hedef alan siber suç dalgasının bir parçası olarak Kuzey Koreli hacker’larla ilişkilendirildi.
Kuzey Koreli Aktörler Radiant Capital Olayına Bağlandı
Coinbase destekli bir kripto donanım cüzdanı üreticisi olan OneKey’den gelen bir rapor, saldırıyı Kuzey Koreli hacker’lara atfetti. Bu rapor, Radiant Capital tarafından paylaşılan ve 16 Ekim saldırısı hakkında bir olay güncellemesi sağlayan yakın tarihli bir medium gönderisinden genişletildi.
Önde gelen bir siber güvenlik firması olan Mandiant, ihlali ayrıca AppleJeus veya Citrine Sleet olarak da bilinen, DPRK ile bağlantılı UNC4736 grubuna bağladı. Bu grup, Kuzey Kore’nin ana istihbarat ajansı olan Keşif Genel Bürosu (RGB) altında faaliyet gösteriyor.
Mandiant’ın araştırması, saldırganların operasyonlarını titizlikle planladığını ortaya koydu. Arbitrum, Binance Smart Chain, Base ve Ethereum gibi birçok blockchain ağına kötü niyetli akıllı sözleşmeler yerleştirdiler. Bu çabalar, DPRK destekli tehdit aktörlerinin DeFi sektörünü hedef almadaki gelişmiş yeteneklerini yansıtıyor.
İhlal, 11 Eylül 2024’te hesaplanmış bir oltalama saldırısıyla başladı. Bir Radiant Capital geliştiricisi, güvenilir bir yüklenici kılığına giren bir kişiden Telegram mesajı aldı. Mesaj, bir akıllı sözleşme denetim raporu içerdiği iddia edilen bir zip dosyası içeriyordu. Bu dosya, Radiant’ın sistemlerine yetkisiz erişimi kolaylaştıran bir macOS arka kapısı olan INLETDRIFT adlı kötü amaçlı yazılımla doluydu.
Geliştirici dosyayı açtığında, dosya meşru bir PDF gibi görünüyordu. Ancak, kötü amaçlı yazılım sessizce kendini yükleyerek atokyonews[.]com adlı kötü niyetli bir alana arka kapı bağlantısı kurdu. Bu, saldırganların kötü amaçlı yazılımı Radiant’ın ekip üyeleri arasında daha fazla yaymasına ve hassas sistemlere daha derin erişim sağlamasına olanak tanıdı.
Hacker’ların stratejisi, ortadaki adam (MITM) saldırısıyla doruğa ulaştı. Ele geçirilen cihazları kullanarak, Radiant’ın Gnosis Safe Multisig cüzdanlarındaki işlem taleplerini engelleyip manipüle ettiler. İşlemler geliştiricilere meşru görünürken, kötü amaçlı yazılım gizlice bunları değiştirerek Radiant’ın borç verme havuzu sözleşmelerinin kontrolünü ele geçirdi.
Vurgunun Gerçekleşmesi, Sektörel Etkiler ve Alınan Dersler
Radiant’ın donanım cüzdanları, işlem simülasyonları ve doğrulama araçları gibi en iyi uygulamalara uymasına rağmen, saldırganların yöntemleri tüm savunmaları aştı. Sahipliği güvence altına aldıktan dakikalar sonra, hacker’lar Radiant’ın borç verme havuzlarından fonları çekerek platformu ve kullanıcılarını sarsıntıya uğrattı.
Radiant Capital saldırısı, DeFi endüstrisine çarpıcı bir uyarı niteliğinde. Katı güvenlik standartlarına uyan projeler bile sofistike tehdit aktörlerinin kurbanı olabilir. Olay, aşağıdaki gibi kritik zayıflıkları ortaya çıkardı:
- Oltalama Riskleri: Saldırı, ikna edici bir taklit planıyla başladı ve istenmeyen dosya paylaşımına karşı artan dikkat ihtiyacını vurguladı.
- Kör İmza: Donanım cüzdanları, yalnızca temel işlem ayrıntılarını gösterdiğinden, kullanıcıların kötü niyetli değişiklikleri tespit etmesini zorlaştırıyor. İşlem yüklerini çözmek ve doğrulamak için geliştirilmiş donanım düzeyinde çözümler gereklidir.
- Ön Yüz Güvenliği: İşlem doğrulaması için ön yüz arayüzlerine güvenmek yetersiz kaldı. Sahte arayüzler, hacker’ların işlem verilerini tespit edilmeden manipüle etmesine olanak tanıdı.
- Yönetim Zayıflıkları: Sahiplik transferlerini iptal etme mekanizmalarının olmaması, Radiant’ın sözleşmelerini savunmasız bıraktı. Gelecekteki olaylarda kritik tepki süresi sağlamak için zaman kilitleri uygulamak veya gecikmeli fon transferleri gerektirmek faydalı olabilir.
İhlale yanıt olarak, Radiant Capital, Mandiant, zeroShadow ve Hypernative gibi önde gelen siber güvenlik firmalarıyla iş birliği yaptı. Bu firmalar, soruşturma ve varlık kurtarma çalışmalarına yardımcı oluyor. Radiant DAO, çalınan fonları izlemek ve dondurmak için ABD kolluk kuvvetleriyle de iş birliği yapıyor.
Medium gönderisinde, Radiant ayrıca öğrenilen dersleri paylaşma ve DeFi endüstrisinde güvenliği artırma taahhüdünü yineledi. DAO, güçlü yönetim çerçevelerinin benimsenmesinin, cihaz düzeyinde güvenliğin güçlendirilmesinin ve kör imza gibi riskli uygulamalardan uzaklaşmanın önemini vurguladı.
“Görünüşe göre işler 1. adımda durabilirdi,” bir kullanıcı X’te yorum yaptı.
Radiant Capital olayı, Kuzey Koreli hacker’ların taktiklerini nasıl değiştirdiğini gösteren yakın tarihli bir raporla örtüşüyor. Siber suçlular daha sofistike hale geldikçe, endüstri şeffaflığı, güçlü güvenlik önlemlerini ve bu tür saldırılarla mücadele için iş birliğini önceliklendirmelidir.
Sorumluluk Reddi
Sorumluluk Reddi: Trust Project yönergelerine uygun olarak BeInCrypto, haberlerde tarafsız ve şeffaf raporları garanti eder. Bu haber makalesi doğru ve güncel bilgi vermeyi amaçlamaktadır. Ancak okuyucuların bu içeriğe dayalı herhangi bir karar vermeden önce tüm bilgileri bağımsız olarak doğrulamaları ve bir profesyonele danışmaları tavsiye edilir.
