事後分析により、ステルス状のマルウェア注入が 5,000 万ドルの Radiant Capital エクスプロイトにつながったことが判明

過去10年間に数多くの市場変動やハッキングを目撃してきた経験豊かな仮想通貨投資家として、私はラディアント・キャピタルでの最近の5,000万ドル強盗に落胆し、激怒したことを認めざるを得ません。この攻撃の巧妙さは、私たちの業界における継続的な警戒の必要性を浮き彫りにしています。

最近のサイバー攻撃では、Radiant Capital 事件の犯人が有害なソフトウェアを使用して開発者のデジタルウォレットを制御し、5,000 万ドル以上相当の資産を盗み出しました。

Radiant Capitalによる詳細な分析によると、5,000万ドルを超える損害をもたらした2024年10月16日のサイバー攻撃は、これまでに発生した中で最も複雑かつ高度な分散型金融（DeFi）ハッキングの1つであると考えられています。

少なくとも 3 人の Radiant 開発者が、複雑なマルウェアを使用してハードウェアウォレットをハッキングされており、他のデバイスも影響を受けた可能性があると推測されています。

このマルウェアは、Safe{Wallet} のユーザーインターフェイスを欺瞞的な方法で改ざんし、表面上は開発者に本物の取引詳細を表示しますが、舞台裏では有害な取引を密かに実行します。

マルチシグネチャリリースを微調整するための標準的な手順（市場の変動に対応するために時々行われます）中に、襲撃が発生しました。驚くべきことに、この調整プロセスでは、Tenderly シミュレーションと手動検査を使用したいくつかのチェックが行われましたが、署名段階で異常なアクティビティは明らかになりませんでした。報告書は何らの不正も発見されずに終了した。

攻撃者は、Safe App トランザクションで頻繁に発生する、つまりガス価格の変動やネットワークの混雑によって引き起こされる再送信を悪用しました。これらの定期的なエラーをシミュレートすることにより、攻撃者は侵害されたアカウントから気づかれずに多数の署名を収集することに成功しました。最終的に、彼らはこの収集されたデータを使用して「transferOwnership」機能をトリガーし、それによって Radiant の融資プールを制御しました。

私はアナリストとして、Binance Smart Chain (BSC) と Arbitrum の両方に影響を与えたサイバーインシデントを観察してきました。この攻撃の背後にある犯人は、署名を操作してスマートコントラクトを改ざんし、特に「transferFrom」機能の悪用に重点を置いていました。この脆弱性は、Web3 セキュリティ会社 De.Fi によって以前に認識されていました。このエクスプロイトにより、融資プールに承認を与えたユーザーから資産を吸い上げることが可能になりました。

さらに、レポートでは、多数のプロトコルが脆弱である可能性があることを指摘し、さまざまな予防措置を提案しています。これらの手順には、多層署名検証の採用、トランザクションの詳細を検証するための別のデバイスの使用、重要なトランザクションの自動署名の回避、署名前に潜在的な問題を特定するためのエラー起動監査の確立が含まれます。

10月18日、独立系開発者のダニエル・フォン・ファンジ氏は、攻撃者がハッキングされたウォレットに送金された資金を継続的に空にしていることを投稿で指摘した。同氏はユーザーに対し、さらなる経済的損失を防ぐために、影響を受ける契約に対して以前に付与した承認を速やかに取り消すよう勧告した。

ハッキング後の対策

ラディアント・キャピタルは、BNBスマートチェーンとアービトラム上の借入プラットフォームを一時的に停止した。 Radiantは10月17日付の投稿で、盗難を調査し盗まれた資金を取り戻すために、SEAL911、Hypernative、Chainaliesなどの複数のサイバーセキュリティ企業と協力していると発表した。

融資プロトコルの当面の予防策には、金庫のメンバーごとに非侵害デバイスを使用して新しいコールドウォレットアドレスを生成すること、署名者の数を 7 人に減らすこと、署名のしきい値を 7 人中 4 人に増やすことが含まれます。さらに、貢献者はトランザクションの二重確認も行います。 Etherscan の入力データデコーダを使用して各トランザクションのデータを作成し、署名前に精度を高めます。

同社はまた、米国の法執行機関と協力して盗まれた資金を凍結し、攻撃者を追跡するとともに、ZeroShadowと協力して悪用者が残したデジタルフットプリントを分析している。

2024-10-18 13:08