Radiant Capital vừa chính thức xác nhận rằng nhóm hacker Triều Tiên đã thực hiện một vụ tấn công mạng tinh vi, đánh cắp 50 triệu USD thông qua phần mềm độc hại được phát tán qua ứng dụng nhắn tin Telegram.
Theo Radiant và Mandiant – đối tác an ninh mạng của nền tảng này, nhóm hacker UNC4736, còn được biết đến với tên Citrine Sleet, được xác định là thủ phạm của vụ tấn công. Nhóm này có liên hệ chặt chẽ với Cục Tình báo Quân sự Triều Tiên (RGB) và có khả năng là một nhánh của nhóm hacker Lazarus khét tiếng. Lazarus đã nhiều lần nhắm vào các nền tảng tiền mã hóa, với tổng giá trị tài sản bị đánh cắp ước tính lên đến 3 tỷ USD từ năm 2017 đến 2023.
Cuộc tấn công bắt đầu từ ngày 11/9 khi một tin nhắn Telegram giả danh cựu nhân viên Radiant được gửi tới một nhà phát triển của nền tảng này. Tin nhắn đính kèm một tệp ZIP, được ngụy trang dưới dạng tài liệu công việc thông thường. Theo Radiant, việc trao đổi tài liệu PDF trong môi trường làm việc là phổ biến, khiến tệp này không dấy lên nghi ngờ.
Tuy nhiên, tệp ZIP chứa mã độc, và khi được chia sẻ nội bộ, nó mở đường cho hacker xâm nhập hệ thống. Ngay cả tên miền liên kết với tệp ZIP cũng được thiết kế giống với website hợp pháp của cựu nhân viên, làm tăng tính thuyết phục.
Vào ngày 16/10, hacker đã kiểm soát các khóa cá nhân và hợp đồng thông minh của Radiant, khiến nền tảng phải tạm ngừng hoạt động các thị trường cho vay. Trong khi giao diện người dùng vẫn hiển thị giao dịch bình thường, các hacker ngầm thực hiện những giao dịch độc hại, dẫn đến việc 52 triệu USD bị chuyển đi vào ngày 24/10.
Đây là lần thứ hai trong năm nay Radiant Capital phải đối mặt với một cuộc tấn công lớn. Trước đó, vào tháng 1, nền tảng này đã chịu thiệt hại 4,5 triệu USD do một vụ khai thác flash loan. Sau những sự cố liên tiếp, tổng giá trị khóa (TVL) của Radiant đã giảm mạnh từ hơn 300 triệu USD vào cuối năm 2022 xuống còn khoảng 5,81 triệu USD tính đến ngày 9/12, theo dữ liệu từ DefiLlama.
Radiant nhấn mạnh rằng các biện pháp bảo mật tiêu chuẩn, như mô phỏng giao dịch và xác minh dữ liệu, đã không đủ để phát hiện cuộc tấn công. Nền tảng kêu gọi cộng đồng DeFi tăng cường bảo mật ở cấp độ phần cứng và phát triển các giải pháp công nghệ mới để đối phó với những mối đe dọa ngày càng tinh vi từ các nhóm hacker quốc gia như Triều Tiên.
