Como analista experimentado con más de dos décadas de experiencia en ciberseguridad, he sido testigo de la evolución de las amenazas digitales desde su infancia hasta la formidable fuerza que son hoy. El incidente de Radiant Capital es otro sombrío recordatorio de que ningún sistema es inexpugnable y que incluso los actores más diligentes pueden ser víctimas de adversarios avanzados.
El 16 de octubre de 2024, Radiant Capital, una plataforma de préstamos descentralizada de vanguardia que se ejecuta en la red LayerZero, fue víctima de un ciberataque extremadamente avanzado. Este desafortunado incidente le costó a la plataforma la asombrosa suma de 50 millones de dólares.
Como inversor en criptomonedas, recientemente me enteré de que el reciente ataque se remonta a grupos de piratas informáticos de Corea del Norte. Este escalofriante desarrollo significa otro episodio preocupante en la creciente ola de delitos cibernéticos dirigidos a las finanzas descentralizadas (DeFi).
Informe vincula a actores norcoreanos con el incidente de Radiant Capital
Un informe de OneKey, un fabricante de billeteras criptográficas respaldado por Coinbase, atribuyó el ataque a piratas informáticos norcoreanos. El informe se extiende desde una publicación mediana reciente compartida por Radiant Capital, que proporcionó una actualización del incidente sobre el ataque del 16 de octubre.
Según los informes, Mandiant, una conocida empresa de ciberseguridad, ha relacionado la infracción con UNC4736, un equipo asociado con Corea del Norte que tiene varios nombres, incluidos AppleJeus o Citrine Sleet. Este grupo funciona bajo la Oficina General de Reconocimiento (RGB), la principal agencia de inteligencia de Corea del Norte.
La investigación de Mandiant descubrió que los atacantes orquestaron cuidadosamente sus acciones. Colocaron estratégicamente contratos inteligentes maliciosos en numerosas redes blockchain como Arbitrum, Binance Smart Chain, Base y Ethereum. Estas acciones resaltan las sofisticadas habilidades de los ciberdelincuentes vinculados a Corea del Norte para atacar la industria de las finanzas descentralizadas (DeFi).
El incidente de seguridad comenzó el 11 de septiembre de 2024, provocado por un intento de phishing bien planificado. Un miembro del equipo de Radiant Capital recibió un mensaje en Telegram, supuestamente de un socio comercial de confianza que había sido presentado engañosamente como contratista. El mensaje contenía un archivo zip, llamado «Penpie_Hacking_Analysis_Report.zip», que en realidad contenía el malware conocido como INLETDRIFT, una puerta trasera para sistemas macOS que otorgaba acceso no autorizado a la red informática de Radiant.
Al abrir el archivo, parecía un PDF estándar. Pero, de manera engañosa, el malware se infiltró sin previo aviso y estableció un enlace oculto al sitio web dañino atokyonews[.]com. Esta astuta configuración permitió a los piratas informáticos difundir el malware entre el personal de Radiant, otorgándoles un mayor acceso a sistemas confidenciales y una penetración más profunda dentro de la red.
El plan de los hackers alcanzó su punto máximo al ejecutar un «ataque de intermediario» (Man-in-the-Middle). Aprovecharon los dispositivos que habían sido comprometidos para interceptar y alterar solicitudes de transacciones dentro de las billeteras multifirma de Gnosis Safe de Radiant. Esta manipulación hizo que las transacciones parecieran genuinas para los desarrolladores, pero en secreto, el malware las cambió sutilmente para realizar un comando de «Transferir propiedad», obteniendo así control sobre los contratos del grupo de préstamos de Radiant.
Ejecución del atraco, implicaciones para la industria y lecciones aprendidas
Aunque Radiant siguió los mejores protocolos de seguridad, como emplear billeteras de hardware, simular transacciones y utilizar herramientas de verificación, los atacantes lograron eludir todas las medidas de protección. En cuestión de minutos después de tomar posesión, los piratas informáticos vaciaron los fondos de los grupos de préstamos de Radiant, dejando a la plataforma y a sus usuarios en estado de shock.
El ciberataque a Radiant Capital actúa como un escalofriante recordatorio para el sector de las finanzas descentralizadas (DeFi). Los proyectos que siguen estrictos protocolos de seguridad no son del todo inmunes a los piratas informáticos avanzados. Este evento sacó a la luz importantes debilidades, tales como:
- Riesgos de phishing: el ataque comenzó con un esquema de suplantación de identidad convincente, que enfatizaba la necesidad de una mayor vigilancia contra el intercambio de archivos no solicitado.
- Firma ciega: si bien son esenciales, las carteras de hardware a menudo muestran solo detalles básicos de la transacción, lo que dificulta que los usuarios detecten modificaciones maliciosas. Se necesitan soluciones mejoradas a nivel de hardware para decodificar y validar las cargas útiles de las transacciones.
- Seguridad frontal: la dependencia de las interfaces frontales para la verificación de transacciones resultó inadecuada. Las interfaces falsificadas permitieron a los piratas informáticos manipular datos de transacciones sin ser detectados.
- Debilidades de la gobernanza: La ausencia de mecanismos para revocar las transferencias de propiedad dejó los contratos de Radiant vulnerables. Implementar bloqueos de tiempo o requerir transferencias de fondos retrasadas podría proporcionar un tiempo de reacción crítico en incidentes futuros.
Para abordar el incidente de seguridad, Radiant Capital ha reclutado expertos en ciberseguridad de primer nivel de empresas como Mandiant, zeroShadow e Hypernative. Sus funciones implican realizar una investigación sobre la infracción y ayudar a recuperar los activos perdidos. Además, la Organización Autónoma Descentralizada (DAO) Radiant está trabajando mano a mano con las fuerzas del orden estadounidenses para rastrear y congelar los fondos robados.
En un artículo de Medium, Radiant reforzó su dedicación a difundir el conocimiento adquirido y mejorar la seguridad dentro del sector de las finanzas descentralizadas (DeFi). Destacaron la importancia de implementar estructuras de gobernanza sólidas, aumentar la protección a nivel de dispositivo y evitar acciones peligrosas como la firma sin control.
“Parece que las cosas podrían haberse detenido en el paso 1”, comentó un usuario de X.
A la luz de los últimos acontecimientos en el incidente de Radiant Capital, parece que las estrategias de piratería informática de Corea del Norte están evolucionando, como se sugiere en un informe reciente. Dada la creciente complejidad de las actividades cibercriminales, es crucial que nuestra industria se mantenga alerta enfatizando la transparencia, reforzando protocolos de seguridad sólidos y fomentando iniciativas de colaboración para contrarrestar dichas amenazas de manera efectiva.
- MOG PRONOSTICO. MOG criptomoneda
- LTC PRONOSTICO. LTC criptomoneda
- ETH PRONOSTICO. ETH criptomoneda
- USD DKK PRONOSTICO
- 3 desbloqueos de tokens para ver la próxima semana
- MIN PRONOSTICO. MIN criptomoneda
- REN/USD
- MBOX PRONOSTICO. MBOX criptomoneda
- KSM PRONOSTICO. KSM criptomoneda
- EUR JPY PRONOSTICO
2024-12-13 11:51