Radiant Capital, Kuzey Kore Bağlantılı Hacker ile İlişkilendirilen $50M DeFi Hack’ini Açıkladı

Radiant Capital, merkeziyetsiz finans (DeFi) platformundan 50 milyon doların çalındığı hack saldırısının Kuzey Kore bağlantılı bir hacker tarafından gerçekleştirildiğini ortaya çıkardı.

6 Aralık’ta yapılan bir güncellemeye göre, siber güvenlik firması Mandiant, saldırının Demokratik Kore Halk Cumhuriyeti (DPRK) bağlantılı bir tehdit aktörüne ait olduğuna “yüksek güvenle” karar verdi.

Saldırı, Radiant geliştiricisinin güvenilir bir eski müteahhitten geldiği iddia edilen bir Telegram mesajı aldığı 11 Eylül’de başladı.

Mesaj İçindeki Kötü Amaçlı Yazılım Saldırıya Neden Oldu

Mesaj, yeni bir proje hakkında geri bildirim isteyen bir zip dosyası içeriyordu.

Radiant, bu mesajın şimdi müteahhidi taklit eden DPRK bağlantılı bir hackerdan geldiğine inanıldığını belirtti.

Dosya geliştiriciler arasında paylaşıldığında, güvenlik ihlaliyle sonuçlanan bir kötü amaçlı yazılımı serbest bıraktı.

16 Ekim’de ihlal arttı ve hackerlar birkaç özel anahtar ve akıllı sözleşme üzerinde kontrol sağladı, Radiant’ın borç verme piyasalarını durdurmasına neden oldu.

Platform, zip dosyasının hemen endişe uyandırmadığını, çünkü PDF formatındaki belgeleri gözden geçirmenin profesyonel ortamlarda yaygın olduğunu belirtti.

Ayrıca, dosyaya bağlı alan adının müteahhidin meşru web sitesini taklit edecek şekilde tasarlandığı, aldatmacayı daha da arttırdı.

Kötü amaçlı yazılım, birçok geliştiricinin cihazını tehlikeye attı ve saldırganların işlem verilerini manipüle etmelerini sağladı.

Radiant, ön yüz arayüzlerinin zararsız bilgi gösterirken arka planda kötü amaçlı işlemlerin işlendiğini açıkladı.

Platformun simülasyonlar ve yük doğrulama gibi geleneksel güvenlik önlemleri, saldırıyı tespit edemedi.

“Geleneksel kontroller ve simülasyonlar bariz tutarsızlıklar göstermedi, tehdidi normal inceleme aşamalarında neredeyse görünmez hale getirdi,” dedi.

“Bu aldatmaca o kadar sorunsuz hale getirildi ki, Radiant’ın Tenderly’de işlemleri simüle etme, yük verilerini doğrulama ve her adımda endüstri standart SOP’larına uyma gibi en iyi uygulamalarıyla bile saldırganlar birçok geliştirici cihazını tehlikeye atabildi.”

Saldırganların Kuzey Kore Bağlantılı Olduğuna İnanılıyor

Saldırganlar “UNC4736” veya “Citrine Sleet” olarak tanımlandı ve Kuzey Kore’nin Keşif Genel Bürosu (RGB) ile bağlantılı olduklarına inanılıyor ve belki de ünlü Lazarus Grubu’nun bir parçası olabilirler.

Grup, 2017 ve 2023 arasında yaklaşık 3 milyar dolarlık kripto para birimini çalmakla suçlanıyor.

Ekim saldırısından sonra, çalınan fonların yaklaşık 52 milyon doları, 24 Ekim’de saldırganlar tarafından taşındı.

Radiant Capital, olayı, DeFi platformları tarafından karşı karşıya kalınan gelişen tehditlerin ve mevcut güvenlik önlemlerinin sınırlamalarının keskin bir hatırlatıcısı olarak nitelendirdi.

Bu, Radiant’ın bu yıl karşılaştığı ilk büyük saldırı değil.

Ocak ayında, platform 4.5 milyon dolarlık bir flaş kredi istismarı nedeniyle borç verme piyasalarının askıya alınmasına da yol açtı.

Bildirdiğine göre, Güney Kore, 2019 yılında kripto para borsası Upbit’e yapılan ve 342.000 ETH’nin çalınmasıyla sonuçlanan saldırıyı düzenlediği iddiasıyla Kuzey Kore’yi suçladı . Bu, çalınan fonların şimdi 1 milyar dolardan fazla etmektedir ve Güney Kore Ulusal Polis Teşkilatı tarafından Perşembe günü açıklandı.

Exit mobile version