Önde gelen bir merkezi olmayan finans (DeFi) protokolü olan Radiant Capital, büyük bir güvenlik ihlalinin kurbanı oldu ve bunun sonucunda yaklaşık 50 milyon ABD doları zarara uğradı.
Uzun süredir güvenilir geliştiricilerin cihazlarındaki güvenlik açıklarından yararlanan saldırı, DeFi tarihindeki en karmaşık saldırılardan biri olarak tanımlandı.
Saldırının Detayları
İhlal, tümü donanım cüzdanı kullanan ve coğrafi olarak dağılmış en az üç geliştiriciyi hedef aldı. Saldırganlar, gelişmiş bir kötü amaçlı yazılım yerleştirme işlemi yoluyla bu cihazlara sızdı.
Kötü amaçlı yazılım, Safe{Wallet}’in (eski adıyla Gnosis Safe) ön ucunda görüntülenen işlem verilerini değiştirerek geliştiricilerin farkında olmadan kötü amaçlı işlemleri imzalamasına yol açtı.
Bu işlemler, Tenderly gibi simülasyon araçlarındaki manuel incelemeler sırasında meşru göründü ve fonlar tükenene kadar tespit edilebilir hiçbir anormallik bırakmadı.
İhlal, DAO operasyonlarında standart bir prosedür olan rutin çoklu imzalı emisyon düzenleme süreci sırasında meydana geldi.
Saldırganlar, birden fazla manuel işlem incelemesi de dahil olmak üzere endüstri standardı katı protokollere bağlı kalmalarına rağmen tüm tespit mekanizmalarını atladı.
Bu gizli yaklaşım, Arbitrum ve Binance Akıllı Zincir (BSC) ağlarındaki önemli protokol bileşenlerinin kontrolünü etkili bir şekilde ele geçirerek, yetkisiz aktarım Sahipliği eylemlerine izin vermelerini sağladı. Ayrıca kullanıcı hesaplarından para çekmek için açık onaylardan da yararlandılar.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Serpinti
Saldırganlar öncelikle Radiant Capital’in Arbitrum ve BSC’deki çekirdek pazarlarından fonları çekti. Buna yanıt olarak Radiant DAO, hasarı kontrol altına almak için acil önlemler aldı:
Kullanıcılara Arbitrum, BSC, Ethereum ve Base dahil olmak üzere desteklenen tüm zincirlerdeki token onaylarını iptal etmeleri şiddetle tavsiye edildi.
DAO, çalınan varlıkları dondurmak ve failleri tespit etmek için ABD kolluk kuvvetleriyle iletişime geçti ve siber güvenlik firması ZeroShadow ile ortaklık kurdu.
Daha fazla hasarı önlemek için, ele geçirilen ağlardaki önemli işlemler duraklatıldı ve güvenlik çerçevesinde kapsamlı bir revizyon başlatıldı.
Saldırganların stratejisi, çoklu imza operasyonlarında yaygın olarak görülen rutin işlem hatalarından yararlanmayı içeriyordu. Geliştiricilerden ön uç hata mesajlarıyla karşılaştıktan sonra imzaları yeniden göndermeleri istendi.
Bu, saldırganların şüphe yaratmadan üç geçerli ancak kötü niyetli imza toplamasına olanak tanıdı. Kötü amaçlı yazılım, ön uç arayüzlere ve donanım cüzdanlarına duyulan güvenden yararlanarak görüntülenen tüm işlem verilerinin meşru görünmesini sağladı.
Saldırganlar, faaliyetlerini daha da gizlemek için ayrıca blockchain işlemlerinde gas fiyatı dalgalanmalarını, anlık uyumsuzlukları ve ağ tıkanıklığı normal sorunlarını da kullandı. SEAL911 ve Hypernative’in de aralarında bulunduğu harici güvenlik ekipleri, ihlalin standart inceleme süreçleriyle tespit edilemeyeceğini doğruladı.
İhlal Sonrası Acil Önlemler
Saldırının ardından Radiant Capital, gelecekteki riskleri azaltmak için çeşitli güvenlik yükseltmeleri uyguladı. Temel önlemler şunları içerir:
- Taze Cüzdanlar: Katkıda bulunanlar, ödün verilmeyen cihazları kullanarak yeni soğuk cüzdan adresleri oluşturdular.
- Azaltılmış İmzacı Eşikleri: Önemli işlemler için imzalayanların sayısı yediye düşürüldü ve imza eşiği yedide dörde çıkarıldı.
- İşlem Doğrulaması: Etherscan’in giriş verileri kod çözücüsü gibi araçlar kullanılarak ham işlem yüklerinin manuel olarak incelenmesi de dahil olmak üzere, gelişmiş çok katmanlı doğrulama süreçleri tanıtıldı.
- Zaman Kilitleri ve İzinlerin Ayrılması: Kritik eylemler için minimum 72 saatlik zaman kilitleri uygulandı ve merkezi riskleri azaltmak için izin verilen roller sözleşmeler arasında ayrıldı.
- Protokolün Yeniden Dağıtımı: Temel Aave V2 kredi paketi sözleşmeleri güvenli sistemlerde yeniden dağıtılıyor.
Bu ihlal, DeFi ekosistemlerinde daha güçlü korumaya yönelik acil ihtiyacın altını çiziyor. Radiant’ın durumu, daha geniş DeFi topluluğu için aşağıdakiler de dahil olmak üzere çeşitli potansiyel güvenlik iyileştirmelerinin altını çiziyor:
- İşlem doğrulama için bağımsız cihazlar.
- Donanım cüzdanlarında kör imzanın önlenmesi ve işlem verilerinin tüm arayüzlerde okunabilmesinin sağlanması.
- Tekrarlanan işlem hatalarıyla tetiklenen otomatik denetimler.
Radiant Capital, etkilenen kullanıcılara yardım etme ve çalınan fonları kurtarmak için ajanslarla birlikte çalışma konusundaki kararlılığını yineledi. DAO, topluluğuna güvenliği artırma ve güveni yeniden inşa etmeye yönelik devam eden çabalar konusunda güvence verdi.
Saldırı yıkıcı olsa da Radiant’ın yaygın şeffaflık ve küresel otoritelerle iş birliğini de içeren proaktif tepkisi, hızla gelişen DeFi alanında güvenliğin sıkılaştırılması için değerli bir örnek olay çalışması olarak hizmet ediyor.
Investigate Real-World Malicious Links,Malware & Phishing Attacks With ANY.RUN - Try for Free