Radiant Capital mengatakan peretasan sebesar $50 juta pada platform keuangan terdesentralisasi (DeFi) pada bulan Oktober dilakukan melalui malware yang dikirim melalui Telegram dari seorang peretas yang terkait dengan Korea Utara yang menyamar sebagai mantan kontraktor.
Radiant mengatakan dalam pembaruan pada tanggal 6 Desember dari investigasi yang sedang berlangsung bahwa perusahaan keamanan siber yang dikontraknya, Mandiant, telah menilai 'dengan keyakinan tinggi bahwa serangan ini dapat ditelusuri ke aktor ancaman yang terkait dengan Republik Demokratik Rakyat Korea (DPRK)'.
Platform mengatakan pengembang Radiant menerima pesan Telegram dengan file zip dari "kontraktor terdahulu yang dipercayai" pada 11 September yang meminta umpan balik tentang usaha baru yang mereka rencanakan.
“Setelah ditinjau, pesan ini diduga berasal dari pelaku ancaman yang bersekutu dengan DPRK yang menyamar sebagai mantan kontraktor,” katanya. “File ZIP ini, saat dibagikan untuk umpan balik di antara pengembang lain, pada akhirnya mengirimkan malware yang memfasilitasi intrusi berikutnya.”
Pada 16 Oktober, platform DeFi terpaksa menghentikan pasar pemberi pinjaman setelah seorang peretas berhasil mengendalikan beberapa kunci pribadi dan kontrak pintar dari beberapa penandatangan.
Kelompok peretas Korea Utara tertangkap mengincar pengguna macOS dengan kampanye malware baru menggunakan email phishing, aplikasi PDF palsu, dan teknik untuk menghindari pemeriksaan keamanan Apple pada 12 November.
Pada bulan Oktober, para peretas Korea Utara juga tertangkap menggunakan kerentanan dalam Chrome milik Google untuk mencuri kredensial dompet kripto
Sumber:Radiant Capital
Radiant mengatakan bahwa file tersebut tidak menimbulkan kecurigaan lain karena "permintaan untuk meninjau PDF adalah hal yang rutin dalam pengaturan profesional," dan pengembang "sering berbagi dokumen dalam format ini."
Domain yang terkait dengan file ZIP juga memalsukan situs web resmi kontraktor itu.
Beberapa perangkat pengembang Radiant telah diretas selama serangan, dan antarmuka front-end menampilkan data transaksi yang tidak berbahaya sementara transaksi jahat ditandatangani di latar belakang.
“Pemeriksaan tradisional dan simulasi tidak menunjukkan perbedaan yang jelas, sehingga ancamannya hampir tidak terlihat selama tahap tinjauan normal,” tambahnya.
“Penipuan ini dilakukan dengan sangat mulus sehingga bahkan dengan praktik terbaik Radiant, seperti mensimulasikan transaksi di Tenderly, memverifikasi data payload, dan mengikuti SOP standar industri pada setiap langkah, para penyerang dapat mengompromikan beberapa perangkat pengembang,” tulis Radiant
Contoh PDF palsu yang dapat digunakan oleh kelompok peretas jahat. Sumber:Radiant Capital
Radiant Capital percaya bahwa aktor ancaman yang bertanggung jawab dikenal sebagai “UNC4736,” yang juga dikenal sebagai “Citrine Sleet” — diyakini terkait dengan badan intelijen utama Korea Utara, Reconnaissance General Bureau (RGB), dan diduga merupakan sub-klaster dari kelompok peretasan Lazarus Group.
Para peretas memindahkan sekitar $52 juta dana yang dicuri dari insiden pada 24 Oktober.
“Insiden ini menunjukkan bahwa bahkan SOP yang ketat, dompet hardware, alat simulasi seperti Tenderly, dan tinjauan manusia yang hati-hati dapat dilewati oleh pelaku ancaman yang sangat canggih,” tulis Radiant Capital dalam pembaruan mereka.
Terkait:Peretasan Radiant Capital sebesar $58 juta adalah 'pelajaran' mahal bagi DeFi
“Ketergantungan pada tandatangan buta dan verifikasi di bagian depan yang dapat dipalsukan menuntut pengembangan solusi perangkat keras yang lebih kuat untuk mendekode dan memvalidasi muatan transaksi,” tambahnya
Ini bukan kali pertama Radiant mengalami kompromi tahun ini. Platform ini menghentikan pasar pinjaman pada bulan Januari setelah terjadi eksploitasi pinjaman flash senilai $4,5 juta.
Setelah dua eksploitasi tahun ini, total nilai terkunci Radiant telah turun secara signifikan, dari lebih dari $300 juta pada akhir tahun lalu menjadi sekitar $5,81 juta per 9 Desember, menurut DefiLlama.
Magazine:BTC mencapai $100K, Trump menunjuk Paul Atkins sebagai ketua SEC, dan lainnya: Hodler’s Digest, 1 – 7 Des
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Radiant Capital mengatakan Korea Utara menyamar sebagai mantan kontraktor untuk melakukan peretasan $50 juta
Radiant Capital mengatakan peretasan sebesar $50 juta pada platform keuangan terdesentralisasi (DeFi) pada bulan Oktober dilakukan melalui malware yang dikirim melalui Telegram dari seorang peretas yang terkait dengan Korea Utara yang menyamar sebagai mantan kontraktor.
Radiant mengatakan dalam pembaruan pada tanggal 6 Desember dari investigasi yang sedang berlangsung bahwa perusahaan keamanan siber yang dikontraknya, Mandiant, telah menilai 'dengan keyakinan tinggi bahwa serangan ini dapat ditelusuri ke aktor ancaman yang terkait dengan Republik Demokratik Rakyat Korea (DPRK)'.
Platform mengatakan pengembang Radiant menerima pesan Telegram dengan file zip dari "kontraktor terdahulu yang dipercayai" pada 11 September yang meminta umpan balik tentang usaha baru yang mereka rencanakan.
“Setelah ditinjau, pesan ini diduga berasal dari pelaku ancaman yang bersekutu dengan DPRK yang menyamar sebagai mantan kontraktor,” katanya. “File ZIP ini, saat dibagikan untuk umpan balik di antara pengembang lain, pada akhirnya mengirimkan malware yang memfasilitasi intrusi berikutnya.”
Pada 16 Oktober, platform DeFi terpaksa menghentikan pasar pemberi pinjaman setelah seorang peretas berhasil mengendalikan beberapa kunci pribadi dan kontrak pintar dari beberapa penandatangan.
Kelompok peretas Korea Utara tertangkap mengincar pengguna macOS dengan kampanye malware baru menggunakan email phishing, aplikasi PDF palsu, dan teknik untuk menghindari pemeriksaan keamanan Apple pada 12 November.
Pada bulan Oktober, para peretas Korea Utara juga tertangkap menggunakan kerentanan dalam Chrome milik Google untuk mencuri kredensial dompet kripto
Sumber: Radiant Capital![Hackers, North Korea]()
Radiant mengatakan bahwa file tersebut tidak menimbulkan kecurigaan lain karena "permintaan untuk meninjau PDF adalah hal yang rutin dalam pengaturan profesional," dan pengembang "sering berbagi dokumen dalam format ini."
Domain yang terkait dengan file ZIP juga memalsukan situs web resmi kontraktor itu.
Beberapa perangkat pengembang Radiant telah diretas selama serangan, dan antarmuka front-end menampilkan data transaksi yang tidak berbahaya sementara transaksi jahat ditandatangani di latar belakang.
“Pemeriksaan tradisional dan simulasi tidak menunjukkan perbedaan yang jelas, sehingga ancamannya hampir tidak terlihat selama tahap tinjauan normal,” tambahnya.
“Penipuan ini dilakukan dengan sangat mulus sehingga bahkan dengan praktik terbaik Radiant, seperti mensimulasikan transaksi di Tenderly, memverifikasi data payload, dan mengikuti SOP standar industri pada setiap langkah, para penyerang dapat mengompromikan beberapa perangkat pengembang,” tulis Radiant
Contoh PDF palsu yang dapat digunakan oleh kelompok peretas jahat. Sumber: Radiant Capital![Hackers, North Korea]()
Radiant Capital percaya bahwa aktor ancaman yang bertanggung jawab dikenal sebagai “UNC4736,” yang juga dikenal sebagai “Citrine Sleet” — diyakini terkait dengan badan intelijen utama Korea Utara, Reconnaissance General Bureau (RGB), dan diduga merupakan sub-klaster dari kelompok peretasan Lazarus Group.
Para peretas memindahkan sekitar $52 juta dana yang dicuri dari insiden pada 24 Oktober.
“Insiden ini menunjukkan bahwa bahkan SOP yang ketat, dompet hardware, alat simulasi seperti Tenderly, dan tinjauan manusia yang hati-hati dapat dilewati oleh pelaku ancaman yang sangat canggih,” tulis Radiant Capital dalam pembaruan mereka.
Terkait: Peretasan Radiant Capital sebesar $58 juta adalah 'pelajaran' mahal bagi DeFi
“Ketergantungan pada tandatangan buta dan verifikasi di bagian depan yang dapat dipalsukan menuntut pengembangan solusi perangkat keras yang lebih kuat untuk mendekode dan memvalidasi muatan transaksi,” tambahnya
Ini bukan kali pertama Radiant mengalami kompromi tahun ini. Platform ini menghentikan pasar pinjaman pada bulan Januari setelah terjadi eksploitasi pinjaman flash senilai $4,5 juta.
Setelah dua eksploitasi tahun ini, total nilai terkunci Radiant telah turun secara signifikan, dari lebih dari $300 juta pada akhir tahun lalu menjadi sekitar $5,81 juta per 9 Desember, menurut DefiLlama.
Magazine: BTC mencapai $100K, Trump menunjuk Paul Atkins sebagai ketua SEC, dan lainnya: Hodler’s Digest, 1 – 7 Des