Seorang aktor ancaman Korea Utara berada di balik serangan senilai $50 juta terhadap Radiant Capital pada bulan Oktober dan berpura-pura menjadi mantan kontraktor, kata platform DeFi.
Radiant Capital mengatakan peretasan senilai $50 juta pada platform keuangan terdesentralisasi (DeFi) miliknya pada bulan Oktober dilakukan melalui malware yang dikirim melalui Telegram dari seorang peretas yang berafiliasi dengan Korea Utara yang menyamar sebagai mantan kontraktor.
Dalam pembaruan investigasi yang dirilis pada 6 Desember, Radiant mengungkapkan bahwa firma keamanan siber yang dikontraknya, Mandiant, menilai “dengan tingkat keyakinan tinggi” bahwa serangan tersebut dapat dikaitkan dengan aktor ancaman yang memiliki keterkaitan dengan Republik Rakyat Demokratik Korea (DPRK).
Sumber: Medium
Platform tersebut menyatakan bahwa seorang pengembang Radiant menerima pesan Telegram berisi berkas zip dari seorang “mantan kontraktor tepercaya” pada 11 September yang meminta umpan balik mengenai usaha baru yang tengah mereka rencanakan.
Setelah ditinjau, pesan ini diduga berasal dari pelaku ancaman yang berpihak pada DPRK yang menyamar sebagai mantan kontraktor, katanya. “File ZIP ini, ketika dibagikan untuk mendapatkan umpan balik di antara pengembang lain, akhirnya mengirimkan malware yang memfasilitasi intrusi berikutnya.
Pada 16 Oktober, platform DeFi menghentikan layanan pinjamannya setelah peretas menguasai kunci pribadi dan kontrak pintar beberapa penanda tangan. Kelompok peretas Korea Utara diketahui telah mencuri kripto senilai $3 miliar dari 2017 hingga 2023, dengan platform kripto sebagai target utama.
Radiant mengungkapkan bahwa berkas yang digunakan dalam serangan tidak menimbulkan kecurigaan karena permintaan tinjauan PDF dianggap hal rutin di lingkungan profesional, dan pengembang sering berbagi dokumen dalam format tersebut. Domain terkait berkas ZIP juga memalsukan situs web resmi milik kontraktor.
Serangan tersebut mengganggu beberapa perangkat pengembang Radiant. Antarmuka front-end menampilkan data transaksi yang tampak normal, sementara transaksi berbahaya ditandatangani di latar belakang. Ancaman ini sulit terdeteksi karena pemeriksaan dan simulasi tradisional tidak menunjukkan perbedaan yang mencolok.
Radiant menjelaskan bahwa meskipun telah menerapkan praktik terbaik, seperti simulasi transaksi di Tenderly, verifikasi data muatan, dan mengikuti SOP standar industri, para penyerang tetap berhasil membahayakan perangkat pengembang.
Sumber: Radiant Capital
Baca juga: Coffeezilla Mengkritik ‘Berita Sensasional’ tentang Memecoin Hawk Tuah
Radiant Capital mengidentifikasi aktor ancaman di balik serangan tersebut sebagai “UNC4736” atau “Citrine Sleet,” yang diduga berafiliasi dengan badan intelijen Korea Utara, Reconnaissance General Bureau (RGB), dan dianggap sebagai sub-klaster dari kelompok peretas terkenal, Lazarus Group.
Para peretas berhasil memindahkan sekitar $52 juta dari dana yang dicuri pada 24 Oktober. Radiant Capital menyatakan bahwa insiden ini membuktikan bahwa bahkan dengan penerapan SOP yang ketat, penggunaan dompet perangkat keras, alat simulasi seperti Tenderly, dan peninjauan manual yang cermat, aktor ancaman tingkat tinggi tetap dapat mengelabui sistem keamanan.
Ketergantungan pada penandatanganan buta dan verifikasi front-end yang dapat dipalsukan menuntut pengembangan solusi tingkat perangkat keras yang lebih kuat untuk mendekode dan memvalidasi muatan transaksi tambahnya. Ini bukan pertama kalinya Radiant diretas tahun ini. Platform tersebut menghentikan pasar pinjaman pada bulan Januari setelah eksploitasi pinjaman kilat senilai $4,5 juta.
Setelah dua eksploitasi tahun ini, total nilai Radiant yang terkunci telah turun secara signifikan, dari lebih dari $300 juta pada akhir tahun lalu menjadi sekitar $5,81 juta pada 9 Desember, menurut DefiLlama.
Sumber: DefiLlama
Baca juga: Bos The Fed: Bitcoin Lebih Mirip Emas Dibandingkan Dolar AS
Kesimpulan Cryptoiz
Radiant Capital menjadi korban serangan siber senilai $50 juta pada Oktober 2023, yang diduga dilakukan oleh kelompok peretas Korea Utara, “UNC4736” atau “Citrine Sleet.” Kelompok ini diyakini berafiliasi dengan badan intelijen Korea Utara, Reconnaissance General Bureau (RGB), dan dikaitkan dengan sub-klaster dari Lazarus Group. Peretasan tersebut dimulai dengan pengiriman file ZIP berisi malware melalui pesan Telegram dari seseorang yang menyamar sebagai mantan kontraktor tepercaya. File tersebut digunakan untuk menginfeksi perangkat pengembang dan mengontrol kunci pribadi serta kontrak pintar beberapa penanda tangan.
Insiden ini memperlihatkan bahwa bahkan langkah-langkah pengamanan seperti SOP yang ketat, dompet perangkat keras, simulasi dengan Tenderly, serta pemeriksaan manual tidak cukup untuk menghentikan ancaman tingkat lanjut. Serangan tersebut juga mengeksploitasi ketergantungan pada verifikasi front-end yang dapat dipalsukan, sehingga data transaksi yang tampak normal menutupi aktivitas berbahaya yang terjadi di latar belakang.
Akibat peretasan ini, Radiant Capital menghentikan layanannya dan mengalami penurunan nilai total yang terkunci (TVL) dari $300 juta menjadi sekitar $5,81 juta pada 9 Desember 2023. Serangan ini menjadi peretasan kedua yang dialami Radiant tahun ini, setelah sebelumnya pada Januari 2023 mereka mengalami eksploitasi pinjaman kilat senilai $4,5 juta. Insiden ini menegaskan bahwa peretas Korea Utara terus menjadi ancaman signifikan bagi sektor DeFi, yang telah kehilangan sekitar $3 miliar dari 2017 hingga 2023.
