Radiant Capital은 2023년 10월 발생한 5천만 달러 규모의 해킹이 북한과 연관된 해커에 의해 일어난 사건이라고 밝혔습니다. 해커는 전직 계약자를 가장해 Telegram을 통해 악성 파일을 전달했으며, 이 파일을 통해 시스템에 침입했다고 합니다.

사건의 전개

Radiant Capital은 12월 6일 업데이트에서, 해킹이 북한 정권과 연결된 UNC4736 해커 그룹의 소행으로 Mandiant라는 사이버 보안 업체의 분석을 통해 확신한다고 전했습니다. 해커는 Telegram을 통해 ZIP 파일을 Radiant의 개발자에게 보냈으며, 이 파일은 전직 계약자가 보낸 것으로 위장되었습니다. 개발자는 이를 검토하고 다른 개발자들에게도 파일을 공유했으며, 결국 악성 코드가 시스템에 침투하게 되었습니다.

해킹의 피해

해커는 10월 16일, Radiant의 대출 시장을 중단시키도록 만든 주범이 되었고, 여러 개발자의 개인 키와 스마트 계약을 탈취했습니다. Radiant는 파일의 출처를 의심하지 않았으며, PDF 문서 요청이 일반적인 업무 요청이기 때문에 보안 경고를 받지 않았습니다. 또한, 웹사이트의 도메인도 진짜 계약자 사이트를 그대로 흉내내어 더욱 믿을 수 있게 만들었습니다.

해커의 전술과 대응

해커는 거래 데이터를 숨기고 악성 거래를 배경에서 실행하는 방법으로 시스템을 완벽하게 속였습니다. Radiant는 모의 거래나 **산업 표준 절차(SOP)**를 통해 해킹을 감지할 수 없었으며, 해커의 고도화된 기법은 일반적인 보안 절차를 무력화시켰습니다.

Radiant는 이번 해킹이 "Citrine Sleet" 또는 Lazarus Group의 하위 그룹으로 알려진 UNC4736에 의해 이루어진 것이라고 추정하고 있습니다. 해커는 10월 24일에 약 5천2백만 달러의 자금을 탈취해 이동시킨 것으로 알려졌습니다.

교훈 및 향후 대응

Radiant는 이번 사건을 통해 하드웨어 수준에서의 보안 강화가 필요함을 강조했습니다. 모든 전자 서명과 프론트엔드 검증이 위조될 수 있는 점을 지적하며, 거래 페이로드를 더 안전하게 검증할 수 있는 방법을 개발해야 한다고 전했습니다.

이번 해킹은 Radiant가 2023년 1월에 450만 달러 규모의 플래시 론 공격으로 피해를 입은 뒤 두 번째로 발생한 사건입니다. 이후, Radiant의 **총 잠금 자산(TVL)**은 3억 달러에서 581만 달러로 급감했습니다.

• 페이스북 공유
• 트위터 공유