Zum Inhalt springen
Gegr. MMXXVIBd. VI · № 273RSS
Blockchain Breaches

Ein Archiv von Sicherheitsvorfällen im Kryptobereich — Hacks, Exploits, Bridge-Ausfälle und Rug Pulls, dokumentiert mit On-Chain-Belegen.

Dossier № 211Frontend-Übernahme

Radiant Capital Multi-Sig-Hijack

53 Mio. $ aus einem 3-von-11-Radiant-Multi-Sig abgezogen, nachdem macOS-Malware drei Signierer traf; Safe-UI zeigte saubere Txs, Wallets signierten Upgrades.

Datum
Opfer
Radiant Capital
Chain(s)
ArbitrumBNB Chain
Status
Mittel entwendet
Zurechnung
UNC4736 / Citrine Sleet / Lazarus Group (DPRK)

Am 16. Oktober 2024 verlor das Cross-Chain-Kreditprotokoll Radiant Capital etwa 53 Millionen $ an seinen zweiten großen Angriff des Jahres. Der Bug lag nicht in Radiants Verträgen — er lag in dem, was seine Signierer auf ihren Bildschirmen sahen, während sie signierten.

Was geschah

Die Geschichte beginnt am 11. September 2024, als ein Radiant-Entwickler eine Telegram-Nachricht von jemandem erhielt, der sich als vertrauenswürdiger ehemaliger Auftragnehmer ausgab. Die Nachricht bat um Feedback zu einem Smart-Contract-Audit und enthielt eine ZIP-Datei mit einem Köder-PDF — und einer macOS-Malware-Payload, InletDrift, die eine persistente Hintertür etablierte.

In den folgenden Wochen wurde die Malware auf mindestens drei Signierer-Maschinen eingesetzt.

Radiant erforderte 3 von 11 Signaturen, um privilegierte Aktionen auf seinem Safe-Multi-Sig zu autorisieren. Als die Angreifer bereit waren, lösten sie eine routinemäßig aussehende Transaktion auf der Gnosis-Safe-Schnittstelle aus. In den Augen der Signierer zeigte die UI die gutartige Transaktion, die sie erwarteten. Der Verkehr, der tatsächlich ihre Hardware-Wallets erreichte, abgefangen und umgeschrieben von der Malware, war ein bösartiges Upgrade, das die Kontrolle über die Kreditmärkte übertrug.

Drei Signaturen gesammelt. Das Upgrade wurde ausgeführt. 53 Mio. $ über Arbitrum und BNB Chain abgezogen.

Folgen

  • Mandiant und andere schrieben die Operation UNC4736 / Citrine Sleet zu — auch als AppleJeus verfolgt — einem Lazarus-Sub-Cluster, der für die langlaufende InletDrift-Kampagne bekannt ist.
  • Der Radiant-Angreifer hat einen erheblichen Teil der gestohlenen ETH gehalten und seine Position Berichten zufolge durch nachfolgendes ETH-Trading auf über 100 Mio. $ Papierwert ausgebaut.
  • Radiant relaunchte Märkte nach Monaten von Audits und Vertrags-Redeployments. Wiederherstellungen für betroffene Nutzer kamen primär durch governance-kontrollierte Token-Neuemission.

Warum es wichtig ist

Radiant war der Lehrbuchfall für das, was später im großen Maßstab bei WazirX und Bybit geschah: Die Vertrauensgrenze einer Hardware-Wallet endet am Bildschirm, von dem du die Transaktion abliest. Unabhängige Transaktions-Simulations-Displays und Out-of-Band-Calldata-Verifikation sind seitdem Standardpraxis für jede Multi-Sig geworden, die bedeutendes TVL verwaltet.

Quellen & On-Chain-Belege

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-radiant-capital-hack-october-2024
  2. [02]onekey.sohttps://onekey.so/blog/ecosystem/one-pdf-50m-gone-the-radiant-capital-hack-explained/
  3. [03]medium.comhttps://medium.com/@marcellusv2/anatomy-of-a-53-million-hack-how-radiant-capitals-multisig-failed-121fca23a996

Verwandte Einträge