Radiant Capital tố hacker Triều Tiên giả danh cựu nhân viên để hack 50 triệu USD của dự án

Radiant Capital xác nhận vụ hack trị giá 50 triệu USD vào tháng 10 năm nay do một nhóm tin tặc liên kết với Triều Tiên thực hiện, thông qua phần mềm độc hại gửi qua Telegram bởi một người giả danh cựu nhân viên của nền tảng.

Trong bản cập nhật ngày 6/12, Radiant cho biết công ty an ninh mạng được thuê là Mandiant đã đánh giá “với mức độ tin cậy cao” rằng vụ tấn công này có liên quan đến nhóm hacker “UNC4736,” còn được gọi là “Citrine Sleet,” dưới sự chỉ đạo của Cục Trinh sát Tổng hợp (RGB) của Triều Tiên.

Vào ngày 11/9, một nhà phát triển của Radiant nhận được tin nhắn Telegram từ “cựu nhân viên đáng tin cậy”, kèm theo một tệp ZIP yêu cầu xem xét ý tưởng mới. Tệp này chứa phần mềm độc hại, lây nhiễm vào các thiết bị của nhiều nhà phát triển và dẫn đến việc xâm nhập hệ thống.

Ngày 16/10, hacker đã tấn công nền tảng Radiant, chiếm quyền kiểm soát khóa cá nhân của một số người ký kết và các hợp đồng thông minh, buộc dự án phải tạm ngừng hoạt động thị trường cho vay. Tin tặc sau đó đã đánh cắp và tẩu tán khoảng 52 triệu USD tài sản vào ngày 24/10.

Radiant thừa nhận tệp ZIP không gây nghi ngờ vì việc xem xét các tài liệu PDF là “thông lệ phổ biến trong môi trường chuyên nghiệp,” và tên miền liên kết với tệp đã giả mạo trang web hợp pháp của nhân viên cũ.

Nền tảng cũng cho biết các biện pháp an ninh hiện tại, bao gồm ví phần cứng và công cụ mô phỏng như Tenderly, không thể ngăn chặn được nhóm hacker tinh vi này.

Đây không phải lần đầu Radiant bị tấn công trong năm nay. Vào tháng 1, nền tảng đã phải dừng hoạt động sau vụ tấn công flash loan trị giá 4,5 triệu USD. Hậu quả của hai vụ tấn công đã khiến tổng giá trị khóa (TVL) của Radiant giảm mạnh từ hơn 300 triệu USD cuối năm ngoái xuống chỉ còn khoảng 5,81 triệu USD vào ngày 9/12, theo DefiLlama.

Xem thêm: Radiant Capital (RDNT) bị tấn công, thiệt hại hơn 51 triệu USD