Kuzey Koreli Hacker, Radiant Capital’a 50 Milyon Dolarlık Saldırı Düzenledi

Ekim ayında Radiant Capital'a yönelik 50 milyon dolarlık saldırının, eski bir müteahhit gibi davranan ve Kuzey Kore ile bağlantılı bir hacker tarafından gerçekleştirildiği açıklandı.

DeFi platformu, saldırının, Telegram üzerinden gönderilen kötü amaçlı yazılım aracılığıyla yapıldığını belirtti.

Radiant, 6 Aralık'ta yaptığı bir açıklamada, devam eden soruşturmayla ilgili olarak sözleşmeli siber güvenlik firması Mandiant'in, "bu saldırının Kore Demokratik Halk Cumhuriyeti'ne (DPRK) bağlı bir tehdit aktörüne atfedilebileceğine yüksek güvenle kanaat getirdiğini" duyurdu.

Platform, bir Radiant geliştiricisinin 11 Eylül'de eski bir yükleniciden gelen ve üzerinde geri bildirim istenen yeni bir girişimi içeren bir ZIP dosyası içeren bir Telegram mesajı aldığını bildirdi.

"Bu mesajın, eski yükleniciyi taklit eden bir DPRK'ya bağlı tehdit aktöründen kaynaklandığı şüpheleniliyor," denildi. "Bu ZIP dosyası, diğer geliştiricilerle geri bildirim için paylaşıldığında, sonrasında müdahaleye neden olan kötü amaçlı yazılımı iletti."

16 Ekim’de, hacker’ların birkaç imza sahibinin özel anahtarlarına ve akıllı sözleşmelere erişim sağlamasıyla DeFi platformu, kredi piyasalarını durdurmak zorunda kaldı. Kuzey Koreli hacker grupları, 2017-2023 yılları arasında kripto platformlarına saldırarak 3 milyar dolardan fazla kripto çaldı.

Radiant, dosyanın şüphe uyandırmadığını çünkü "PDF inceleme taleplerinin profesyonel ortamlarda rutin olduğunu" ve geliştiricilerin "bu formatta belge paylaşmasının yaygın bir uygulama olduğunu" söyledi.

ZIP dosyasına bağlı alan adı da, yüklenicinin gerçek web sitesini taklit ediyordu.

Saldırı sırasında birden fazla Radiant geliştirici cihazı tehlikeye atıldı ve ön uç arayüzlerinde masum işlem verileri görüntülenirken, kötü amaçlı işlemler arka planda imzalandı.

"Yapılan geleneksel kontroller ve simülasyonlar, belirgin bir tutarsızlık göstermedi, bu da tehdidin normal inceleme aşamalarında neredeyse görünmez olmasına yol açtı," diye ekledi.

Radiant, "Bu aldatmaca o kadar kusursuz bir şekilde gerçekleştirildi ki, Radiant’ın Tenderly’de işlem simülasyonları yapmak, yük verisi doğrulamak ve her adımda endüstri standartlarına uygun prosedürler izlemek gibi standart en iyi uygulamalarına rağmen, saldırganlar birden fazla geliştirici cihazını tehlikeye atmayı başardı," şeklinde ifade etti.

Radiant Capital, sorumlu tehdit aktörünün "UNC4736" olarak bilinen ve Kuzey Kore'nin ana istihbarat ajansı olan Keşif Genel Bürosu (RGB) ile bağlantılı "Citrine Sleet" olarak da tanınan bir varlık olduğunu söyledi. Bu grubun, Lazarus Grubu'nun bir alt kümesi olabileceği belirtiliyor.

Saldırıdan çalınan 52 milyon dolar, 24 Ekim’de hareket ettirildi.

Radiant Capital, yaptığı güncellemeye şu açıklamayı ekledi: "Bu olay, titiz SOP'ler, donanım cüzdanları, Tenderly gibi simülasyon araçları ve dikkatli insan incelemesinin, oldukça gelişmiş tehdit aktörleri tarafından nasıl geçilebileceğini göstermektedir."

Ayrıca, "işlem yüklerinin kod çözülmesi ve doğrulanması için donanım düzeyinde daha güçlü çözümlerin geliştirilmesi gerektiğini" ekledi.

Radiant’ın bu yılın başında da bir saldırıya uğradığı belirtildi. Platform, Ocak ayında 4.5 milyon dolarlık bir flash loan suistimali sonrası kredi piyasalarını durdurmuştu.

Bu iki suistimalin ardından, Radiant’ın toplam kilitli değeri, geçen yılın sonunda 300 milyon doların üzerinde iken, 9 Aralık itibariyle yaklaşık 5.81 milyon dolara düştü.