A Radiant Capital, uma plataforma de finanças descentralizadas (DeFi), revelou novas informações sobre o ataque de US$ 50 milhões sofrido em outubro. A investigação concluiu que o grupo responsável tem vínculos com a Coreia do Norte, e o ataque foi realizado por meio de um esquema sofisticado que envolvia o uso de malware distribuído no Telegram.
O incidente começou a se desenrolar semanas antes de ser detectado. Em 11 de setembro de 2024, um desenvolvedor da Radiant recebeu uma mensagem via Telegram de um impostor que se fazia passar por um ex-funcionário da empresa. A abordagem, aparentemente inocente, incluía um pedido de feedback sobre um arquivo PDF relacionado à auditoria de contratos inteligentes.
O anexo, batizado de Penpie_Hacking_Analysis_Report.zip, continha um malware chamado INLETDRIFT, projetado para macOS. Para evitar suspeitas, o arquivo apresentava um PDF convincente enquanto estabelecia conexão com servidores externos, criando um ponto de entrada para os atacantes.
Mesmo com medidas de segurança avançadas como simulações de transações e verificações de payloads, a Radiant não conseguiu identificar a ameaça. Os criminosos alteraram dados de transações diretamente no front-end, levando os desenvolvedores a assinarem transações maliciosas como se fossem legítimas.
Após descobrir a violação em 16 de outubro de 2024, a Radiant imediatamente iniciou uma investigação, colaborando com empresas de segurança cibernética como Mandiant, zeroShadow, Hypernative e SEAL 911. A análise detalhada confirmou o envolvimento de atores ligados à Coreia do Norte, conhecidos por alvos semelhantes no espaço DeFi.
No dia 9 de dezembro, a zeroShadow reforçou essa conclusão, destacando que diversas evidências, tanto on-chain quanto off-chain, apontam para a conexão com a República Popular Democrática da Coreia (DPRK). A empresa também esclareceu que parte dos movimentos identificados envolvia usuários que não revogaram permissões, embora esses fundos não estejam relacionados diretamente aos valores roubados no ataque inicial.
A Radiant Capital é conhecida por sua solução de empréstimos e financiamentos descentralizados, integrando cadeias diferentes por meio da tecnologia LayerZero. No entanto, os sucessivos ataques abalaram sua reputação e diminuíram drasticamente seu total de valor bloqueado (TVL).
No início do ano, a Radiant sofreu outra violação significativa, quando uma vulnerabilidade em seus contratos inteligentes resultou na perda de US$ 4,5 milhões. À época, seu TVL superava os US$ 300 milhões. Hoje, de acordo com dados da DefiLlama, o montante caiu para pouco mais de US$ 6 milhões, representando uma queda de mais de 97% em 2024, mesmo em um período de alta no mercado de criptomoedas.
