Devis de remise multi-licences
Sécurité informatique Le vol de 50 millions de dollars de Radiant Capital...

Le vol de 50 millions de dollars de Radiant Capital imputé à des pirates informatiques nord-coréens

Par Mura en Sécurité informatique
Se traduisent par :
Français

Le projet de finance décentralisée (DeFi) Radiant Capital a confirmé que des pirates informatiques nord-coréens avaient orchestré un vol de 50 millions de dollars lors d'une attaque sophistiquée en octobre. La faille a exploité des logiciels malveillants, des protocoles multi-signatures et un stratagème astucieux d'ingénierie sociale pour détourner des fonds des marchés principaux, laissant la plateforme et ses utilisateurs sous le choc.

Comment s'est déroulée l'attaque

Selon le rapport d'autopsie de Radiant, le vol a commencé en septembre par une opération de phishing ciblée. Un développeur a reçu un message Telegram provenant d'un compte se faisant passer pour un ancien entrepreneur de confiance. Le message contenait un fichier PDF zippé, prétendument lié à une opportunité d'audit de contrat intelligent. Cette demande apparemment routinière a eu des conséquences dévastatrices.

Lorsque le développeur a partagé le fichier pour recueillir des commentaires, plusieurs appareils ont été infectés par Inletdrift , un malware de porte dérobée. Le programme malveillant a permis aux attaquants de surveiller et de manipuler les systèmes des développeurs, préparant ainsi le terrain pour la violation du 16 octobre. En infectant trois développeurs principaux, les pirates ont eu accès au portefeuille multi-signatures de Radiant lors d'un processus de réglage des émissions de routine.

Une opération trompeuse

Les attaquants ont exécuté des transactions frauduleuses sans déclencher d'alerte, grâce à une astuce subversive qui a trompé le système de vérification Safe{Wallet} de Radiant. L'interface du portefeuille a affiché aux développeurs des données de transaction légitimes, masquant les activités malveillantes se déroulant en arrière-plan.

Radiant a révélé que les fonds volés ont été retirés des comptes d'utilisateurs via des approbations ouvertes. Dans un communiqué, la société a expliqué :

“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”

Les pirates ont déployé des contrats intelligents malveillants sur plusieurs réseaux blockchain, notamment Arbitrum , Base , Binance Smart Chain et Ethereum . Une fois le vol terminé, ils ont rapidement supprimé les traces du malware et les extensions de navigateur associées pour couvrir leurs traces.

Attribution aux pirates informatiques nord-coréens

L'entreprise de cybersécurité Mandiant , qui a enquêté sur la faille, a attribué l'attaque à un groupe de cybercriminels soutenu par l'État nord-coréen connu sous le nom de UNC4736 . Le groupe, également connu sous le nom d'AppleJeus ou de Citrine Sleet , opère sous l'égide du Bureau général de reconnaissance de Pyongyang (RGB), une agence de renseignement étrangère. Mandiant a déclaré :

“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”

UNC4736 a pour habitude de cibler les plateformes de cryptomonnaies pour financer le régime nord-coréen et échapper aux sanctions internationales. Le groupe est connu pour utiliser de fausses offres d'emploi et des documents malveillants pour infiltrer des organisations, une tactique qui s'est reflétée dans l'attaque de Radiant Capital.

Les retombées et les leçons apprises

Le vol a porté un coup dur à Radiant Capital, drainant ses liquidités et entamant la confiance des utilisateurs. Bien que le projet ait depuis renforcé ses protocoles de sécurité, l'incident met en évidence les vulnérabilités inhérentes aux plateformes DeFi.

Les principaux points à retenir pour les utilisateurs et les développeurs sont les suivants :

  1. Méfiez-vous de l’ingénierie sociale : vérifiez toujours les messages inattendus, en particulier ceux impliquant des offres d’emploi ou des téléchargements de fichiers.
  2. Renforcez les processus multi-signatures : renforcez les mécanismes de révision des transactions multi-signatures pour détecter d’éventuelles anomalies.
  3. Investissez dans la détection des logiciels malveillants : utilisez des outils avancés de détection des menaces pour identifier les logiciels malveillants de porte dérobée et autres menaces sophistiquées.

Le braquage de Radiant Capital est un rappel brutal de la sophistication croissante des cybercriminels, en particulier des groupes parrainés par l'État comme l'UNC4736 de Corée du Nord. Alors que l'écosystème DeFi continue de croître, son attrait pour les acteurs malveillants en quête de gains à enjeux élevés augmente également. Le renforcement des défenses et la promotion de la vigilance parmi les développeurs et les utilisateurs seront essentiels dans la bataille en cours pour sécuriser la finance décentralisée.

Chargement...