Vụ Tấn Công Radiant Capital: Thiết Bị Của Nhà Phát Triển Bị Xâm Nhập Qua Phần Mềm Độc Hại

Vụ tấn công Radiant Capital liên quan đến việc tin tặc xâm nhập thiết bị của ít nhất ba nhà phát triển cốt lõi thông qua việc tiêm phần mềm độc hại tinh vi, dẫn đến việc đánh cắp hơn 50 triệu đô la tài sản kỹ thuật số.

Cập nhật (ngày 21 tháng 10 lúc 15:53 UTC): Bài viết này đã được cập nhật để làm rõ rằng giao diện Safe{Wallet} không bị xâm nhập trong cuộc tấn công.

Radiant Capital đã công bố một báo cáo hậu kiểm chi tiết sau vụ tấn công ngày 16 tháng 10, dẫn đến việc đánh cắp hơn 50 triệu đô la tài sản kỹ thuật số từ mạng BNB Chain và Arbitrum. Báo cáo xác nhận rằng tin tặc đã xâm nhập vào thiết bị của ba nhà phát triển lâu năm.

Tin tặc đã sử dụng một phần mềm độc hại tinh vi để xâm nhập vào các thiết bị, cho phép họ ký các giao dịch độc hại.

"Các thiết bị đã bị xâm nhập đến mức giao diện phía trước của Safe{Wallet} (trước đây được gọi là Gnosis Safe) hiển thị dữ liệu giao dịch hợp pháp, trong khi các giao dịch độc hại được ký và thực hiện ở chế độ nền," đội ngũ Radiant giải thích trong bài đăng blog của họ. Họ còn làm rõ rằng giao diện Safe{Wallet} vẫn không bị xâm nhập, và một giao dịch hợp lệ đã được tạo ra bằng cách sử dụng Transaction Builder. "Việc xâm nhập xảy ra trên một hoặc nhiều thiết bị bên ngoài môi trường Safe{Wallet} liên quan đến quá trình ký, chẳng hạn như máy tính xách tay hoặc tiện ích mở rộng Chrome."

Radiant Capital hoạt động như một nền tảng tài chính phi tập trung (DeFi), cho phép người dùng kiếm lãi và vay tài sản trên nhiều mạng blockchain. Nó hoạt động như một "thị trường tiền tệ đa chuỗi," tạo điều kiện cho các giao dịch xuyên chuỗi trên thị trường cho vay trên nhiều mạng, bao gồm Ethereum, BNB và Arbitrum.

Cơ Chế Tấn Công

Vụ vi phạm xảy ra trong quá trình điều chỉnh phát thải multisignature thường xuyên, một quy trình mà Radiant Capital thực hiện định kỳ để thích ứng với điều kiện thị trường và tỷ lệ sử dụng.

Multisignature, một phương pháp phổ biến để bảo mật các giao thức Web3, yêu cầu nhiều chữ ký để phê duyệt một giao dịch.

Khi các giao dịch được phê duyệt bên ngoài giao diện Safe{Wallet}, các thiết bị bị xâm nhập đã chặn các phê duyệt này và thay thế chúng bằng một giao dịch độc hại, sau đó được chuyển tiếp đến ví phần cứng để ký. Khi Safe Wallet phát hiện ra vấn đề, nó hiển thị một thông báo lỗi, thúc giục người dùng thử lại chữ ký.

Những sự cố như vậy có thể xuất phát từ nhiều yếu tố, bao gồm biến động giá gas, sự không khớp của nonce, tắc nghẽn mạng và giới hạn gas không đủ.

"Kết quả là, hành vi này không ngay lập tức gây ra nghi ngờ," đội ngũ lưu ý. Quá trình này cuối cùng đã cho phép tin tặc thu thập ba chữ ký hợp lệ.

Các giao dịch đã ký xuất hiện hợp pháp trong giao diện người dùng, làm cho cuộc tấn công khó phát hiện. Vụ vi phạm vẫn không thể phát hiện được trong các giai đoạn xem xét thủ công của Gnosis Safe UI và các giai đoạn mô phỏng của Tenderly của giao dịch thường xuyên.

"Điều này đã được xác nhận bởi các đội ngũ bảo mật bên ngoài, bao gồm SEAL911 và Hypernative," báo cáo hậu kiểm cho biết.

Cùng với việc rút cạn tài sản trị giá 50 triệu đô la, tin tặc đã lợi dụng các phê duyệt mở để rút tiền từ tài khoản người dùng. Có khả năng là các thiết bị của các nhà phát triển cốt lõi khác của Radiant cũng bị xâm nhập. Để đáp lại, giao thức đã thúc giục người dùng thu hồi các phê duyệt trên tất cả các chuỗi để ngăn chặn các sự cố tiếp theo:

"Tất cả người dùng của nền tảng Radiant được khuyến cáo mạnh mẽ thu hồi bất kỳ phê duyệt nào trên TẤT CẢ các chuỗi — Arbitrum, BSC, Ethereum & Base."

Theo báo cáo của một công ty an ninh mạng, các lỗ hổng kiểm soát truy cập đã chịu trách nhiệm cho việc mất 316 triệu đô la trong quý thứ ba, chiếm gần 70% tổng số tiền điện tử bị đánh cắp trong thời gian đó.

Theo Cointelegraph

Tin khác