Kuzey Koreli Hackerların Radiant Capital Olayında DeFi Açıklarından Yararlanma Olasılıkları

• Kuzey Koreli hackerlar tarafından gerçekleştirilen karmaşık oltalama ve kötü amaçlı yazılım saldırıları, DeFi’deki güvenlik açıklarını istismar etti.

• En iyi uygulamalara rağmen, saldırganlar akıllı sözleşmeleri ve donanım cüzdanlarını manipüle ederek fonları çaldı.

• Oltalama riskleri, kör imza açıkları ve yönetişim boşlukları, daha güçlü güvenlik önlemlerine olan acil ihtiyacı vurguluyor.

16 Ekim 2024’te, Radiant Capital Kuzey Koreli hackerlara bağlı bir siber saldırı sonucu 50 milyon dolar kaybetti. Bu durum, DeFi’deki güvenlik endişelerini artırdı.

Kuzey Koreli Aktörler Radiant Capital Olayına Bağlandı

Coinbase destekli bir kripto donanım cüzdanı üreticisi olan OneKey’den gelen bir rapor, saldırının Kuzey Koreli hackerlar tarafından gerçekleştirildiğini belirtiyor. Bu rapor, Radiant Capital tarafından paylaşılan ve 16 Ekim’deki saldırıya dair güncel bilgileri içeren bir Medium gönderisinden türetilmiştir.

Haberlere göre, önde gelen siber güvenlik firması Mandiant, bu saldırıyı UNC4736 isimli, AppleJeus veya Citrine Sleet olarak da bilinen, Kuzey Kore ile bağlantılı bir gruba ilişkilendirdi. Bu grup Kuzey Kore’nin ana istihbarat ajansı olan Keşif Genel Müdürlüğü (RGB) altında faaliyet gösteriyor.

Mandiant’ın araştırması, saldırganların operasyonlarını titizlikle planladığını ortaya koydu. Saldırganlar, Arbitrum, Binance Smart Chain, Base ve Ethereum dahil olmak üzere birçok blockchain ağı üzerinde kötü niyetli akıllı sözleşmeler yaydılar. Bu girişimler, Kuzey Kore destekli tehdit aktörlerinin DeFi sektörünü hedef alma konusundaki gelişmiş yeteneklerini yansıtıyor.

Saldırı, 11 Eylül 2024’te hesaplanmış bir oltalama saldırısıyla başladı. Bir Radiant Capital geliştiricisi, güvenilir bir yüklenicinin kimliğini taklit eden bir kişi tarafından gönderilen bir Telegram mesajı aldı. Mesajda, sözde bir akıllı sözleşme denetim raporunu içeren bir zip dosyası yer alıyordu. “Penpie_Hacking_Analysis_Report.zip” adlı bu dosya, Radiant’ın sistemlerine yetkisiz erişim sağlamayı mümkün kılan INLETDRIFT adlı bir kötü amaçlı yazılım içeriyordu.

Geliştirici dosyayı açtığında, içerik olarak meşru görünen bir PDF ile karşılaştı. Ancak, kötü amaçlı yazılım sessizce kendini kurarak atokyonews[.]com adlı kötü niyetli bir domaine arka kapı bağlantısı kurdu. Bu, saldırganların Radiant’ın ekip üyeleri arasında kötü amaçlı yazılımı yaymasını sağladı ve hassas sistemlere daha derin erişim kazandırdı.

Hackerların stratejisi, bir man-in-the-middle (MITM) saldırısıyla doruk noktasına ulaştı. Ele geçirilen cihazlardan yararlanan saldırganlar, Radiant’ın Gnosis Safe Multisig cüzdanlarındaki işlem taleplerini kesip manipüle ettiler. İşlemler geliştiricilere meşru görünmesine rağmen, kötü amaçlı yazılım gizlice bunları değiştirerek Radiant’ın kredi havuz sözleşmelerinin kontrolünü ele geçirdi.

Soygun Uygulaması, Sektör Etkileri ve Alınan Dersler

Radiant’ın donanım cüzdanları kullanması, işlem simülasyonları ve doğrulama araçları gibi en iyi uygulamalara rağmen, saldırganların yöntemleri tüm savunmaları aşmayı başardı. Mülkiyet sağlanır sağlanmaz, hackerlar Radiant’ın kredi havuzlarından fonları boşaltarak platformu ve kullanıcıları şok içinde bıraktı.

Radiant Capital saldırısı, DeFi sektörü için sert bir uyarı niteliği taşıyor. Katı güvenlik standartlarına uyan projeler bile karmaşık tehdit aktörlerinin hedefi olabilir. Olay, aşağıdaki kritik güvenlik açıklarını ortaya çıkardı:

• Oltalama Riskleri: Saldırı, inandırıcı bir kimlik takibi şemasına dayanıyordu, gönderilen dosyalara karşı daha dikkatli olunması gerektiğini gösteriyor.
• Kör İmza: Olumlu bir özellik olmasına rağmen, donanım cüzdanları genellikle yalnızca temel işlem detaylarını gösteriyor, bu da kullanıcıların kötü niyetli değişiklikleri tespit etmesini zorlaştırıyor. İşlem yükünü çözmek ve doğrulamak için geliştirilmiş donanım seviyesinde çözümler gereklidir.
• Ön Uç Güvenliği: İşlem doğrulama için ön uç arayüzlerine olan bağımlılık yetersiz kaldı. Taklit arayüzler, hackerların işlem verilerini tespit edilmeden manipüle etmesine imkan tanıdı.
• Yönetim Zayıflıkları: Mülkiyet transferlerini geri alma mekanizmalarının olmaması, Radiant’ın sözleşmelerini savunmasız bıraktı. Gelecek olaylarda kritik tepki süresi sağlamak için zaman kilitleri ya da gecikmeli fon transferleri gibi önlemler uygulanabilir.

Saldırıya yanıt olarak, Radiant Capital, Mandiant, zeroShadow ve Hypernative gibi önde gelen siber güvenlik firmalarıyla iş birliği yaptı. Bu firmalar, araştırma ve varlık kurtarma konularında destek sağlıyor. Radiant DAO ayrıca, çalınan fonları izlemek ve dondurmak için ABD kolluk kuvvetleri ile iş birliği yapıyor.

Radiant, Medium gönderisinde edindiği dersleri paylaşma ve DeFi sektöründeki güvenliği artırma konusundaki kararlılığını yineledi. DAO, güçlü yönetişim çerçevelerinin benimsenmesinin, cihaz düzeyinde güvenliğin güçlendirilmesinin ve kör imza gibi riskli uygulamalardan uzak durmanın önemini vurguladı.

“Görünüşe göre her şey 1. aşamada durabilirdi,” diye yorumladı bir kullanıcı X’te.

Radiant Capital olayı, Kuzey Koreli hackerların taktiklerini nasıl değiştirmeye devam ettiğine dair bir raporla örtüşüyor. Siber suçluların daha karmaşık hale gelmesiyle, endüstrinin bu tür saldırılara karşı şeffaflık, güçlü güvenlik önlemleri ve iş birliğine öncelik vererek adapte olması gerekiyor.

Sonuç

Radiant Capital olayı, DeFi alanında daha güçlü güvenlik protokollerinin gerekliliğini pekiştiriyor. Güçlü yönetişim çerçeveleri, oltalama riskleri hakkında kapsamlı eğitim ve geliştirilmiş işlem doğrulama süreçleri, gelecekteki tehditlere karşı korunmak için öncelikli hale gelmelidir. Değişen siber suç manzarası, dijital varlıkları korumak için dikkatli ve iş birliği içinde bir yaklaşımı zorunlu kılıyor.