Hackers norcoreanos se atribuyen el robo de 50 millones de dólares a Radiant Capital
En una revelación escalofriante, el proyecto de finanzas descentralizadas (DeFi) Radiant Capital confirmó que piratas informáticos norcoreanos orquestaron un robo de 50 millones de dólares en un sofisticado ataque en octubre. La violación de datos aprovechó malware, protocolos multifirma y una astuta estrategia de ingeniería social para desviar fondos de los mercados principales, lo que dejó a la plataforma y a sus usuarios en una situación de crisis.
Tabla de contenido
Cómo se desarrolló el ataque
El robo comenzó con un plan de phishing dirigido en septiembre, según el informe posterior a la muerte de Radiant. Un desarrollador recibió un mensaje de Telegram de una cuenta que se hacía pasar por un ex contratista de confianza. El mensaje contenía un archivo PDF comprimido, supuestamente relacionado con una oportunidad de auditoría de contratos inteligentes. La solicitud aparentemente rutinaria tuvo consecuencias devastadoras.
Cuando el desarrollador compartió el archivo para recibir comentarios, varios dispositivos se infectaron con Inletdrift , un malware de puerta trasera. El programa malicioso permitió a los atacantes monitorear y manipular los sistemas de los desarrolladores, lo que preparó el escenario para la violación del 16 de octubre. Al infectar a tres desarrolladores principales, los piratas informáticos obtuvieron acceso a la billetera multifirma de Radiant durante un proceso de ajuste de emisiones de rutina.
Una operación engañosa
Los atacantes ejecutaron transacciones fraudulentas sin que nadie se percatara de ello, gracias a un truco subversivo que engañó al sistema de verificación Safe{Wallet} de Radiant. La interfaz de la billetera mostraba datos legítimos de transacciones a los desarrolladores, enmascarando las actividades maliciosas que ocurrían en segundo plano.
Radiant reveló que los fondos robados fueron retirados de las cuentas de los usuarios mediante aprobaciones abiertas. En un comunicado, la empresa explicó:
“The front-end interfaces displayed benign transaction data while malicious transactions were signed in the background. Traditional checks and simulations showed no obvious discrepancies, making the threat virtually invisible during normal review stages.”
Los piratas informáticos implementaron contratos inteligentes maliciosos en varias redes de cadenas de bloques, incluidas Arbitrum , Base , Binance Smart Chain y Ethereum . Una vez completado el robo, eliminaron rápidamente los rastros del malware y las extensiones de navegador relacionadas para cubrir sus huellas.
Atribución a piratas informáticos norcoreanos
La empresa de ciberseguridad Mandiant , que investigó la brecha, atribuyó el ataque a un actor de amenazas respaldado por el estado norcoreano conocido como UNC4736 . El grupo, también conocido como AppleJeus o Citrine Sleet , opera bajo la Oficina General de Reconocimiento (RGB) de Pyongyang, una agencia de inteligencia extranjera. Mandiant declaró:
“Although the investigation is ongoing, Mandiant assesses with high confidence that this attack is attributable to a Democratic People’s Republic of Korea (DPRK)-nexus threat actor.”
El grupo UNC4736 tiene antecedentes de atacar plataformas de criptomonedas para financiar el régimen de Corea del Norte y evadir sanciones internacionales. El grupo es conocido por utilizar ofertas de trabajo falsas y documentos maliciosos para infiltrarse en organizaciones, una táctica que se reflejó en el ataque a Radiant Capital.
Las consecuencias y las lecciones aprendidas
El robo supuso un duro golpe para Radiant Capital, agotando su liquidez y dañando la confianza de los usuarios. Si bien desde entonces el proyecto ha reforzado sus protocolos de seguridad, el incidente pone de relieve las vulnerabilidades inherentes a las plataformas DeFi.
Las conclusiones clave para usuarios y desarrolladores incluyen:
- Cuidado con la ingeniería social: verifique siempre los mensajes inesperados, especialmente aquellos que involucran ofertas de trabajo o descargas de archivos.
- Endurecer los procesos multi-firma: Fortalecer los mecanismos de revisión de transacciones multi-firma para detectar posibles anomalías.
- Invierta en detección de malware: utilice herramientas avanzadas de detección de amenazas para identificar malware de puerta trasera y otras amenazas sofisticadas.
El robo de Radiant Capital es un duro recordatorio de la creciente sofisticación de los ciberdelincuentes, en particular de los grupos patrocinados por el Estado como el UNC4736 de Corea del Norte. A medida que el ecosistema DeFi sigue creciendo, también lo hace su atractivo para los actores de amenazas que buscan pagos de alto riesgo. Fortalecer las defensas y fomentar la vigilancia entre los desarrolladores y los usuarios será fundamental en la batalla en curso para asegurar las finanzas descentralizadas.