Radiant Capital：10月份攻擊事件系接收了朝鮮黑客偽裝成前承包商發送的惡意軟件所致

據Cointelegraph報道，Radiant Capital表示，10月份其DeFi平台發生的5000萬美元黑客攻擊事件，是由一名與朝鮮有關聯的黑客實施的，該黑客偽裝成前承包商，並通過Telegram發送了惡意軟件。該平台表示，9月11日，一名Radiant開發人員收到了一位「可信的前承包商」通過Telegram發來的包含zip文件的信息，詢問他們對一項新計劃的反饋，經審查，這條信息疑似來自一名偽裝成前承包商的與朝鮮有關聯的威脅行為者，當這個zip文件在開發人員之間共享以征求反饋時，最終釋放了惡意軟件，促使了後續的入侵。10月16日，一名黑客控制了多個簽名者的私鑰和智能合約後，該DeFi平台不得不停止其借貸市場。Radiant 表示，該文件沒有引起其他懷疑，因為「在專業環境中，要求審查PDF是很常見的」，而且開發人員「經常以這種格式共享文檔」。與zip文件相關的域名還偽裝了承包商的合法網站。在攻擊過程中，多台Radiant開發人員設備被攻破，前端界面顯示良性交易數據，而惡意交易則在後台被簽署。

Radiant Capital表示：「傳統的檢查和模擬沒有發現明顯差異，使得威脅在正常審查階段幾乎不可見。這次欺騙行動進行得如此天衣無縫，即使 Radiant 遵循標准最佳實踐，如在 Tenderly 中模擬交易、驗證有效載荷數據以及遵循行業標准的標准操作程序（SOP），攻擊者仍然能夠攻破多台開發人員設備。」Radiant Capital認為，此次攻擊的黑客被稱為「UNC4736」，也被稱為「Citrine Sleet」——據信與朝鮮主要情報機構偵察總局（RGB）有關聯，並推測是黑客組織Lazarus Group的一個子集群。