Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 211Secuestro de frontend

Secuestro multi-sig en Radiant Capital

$53 M drenados de un multi-sig 3-de-11 de Radiant tras malware macOS en tres firmantes; la UI de Safe mostraba txs limpias mientras se firmaban actualizaciones.

Fecha
Víctima
Radiant Capital
Cadena(s)
ArbitrumBNB Chain
Estado
Fondos robados
Atribución
UNC4736 / Citrine Sleet / Lazarus Group (DPRK)

El 16 de octubre de 2024, el protocolo de préstamos cross-chain Radiant Capital perdió aproximadamente $53 millones en su segundo gran ataque del año. El bug no estaba en los contratos de Radiant — estaba en lo que sus firmantes veían en sus pantallas al firmar.

Qué ocurrió

La historia comienza el 11 de septiembre de 2024, cuando un desarrollador de Radiant recibió un mensaje de Telegram de alguien que se hacía pasar por un antiguo contratista de confianza. El mensaje pedía feedback sobre una auditoría de contrato inteligente e incluía un archivo ZIP con un PDF señuelo — y una carga útil de malware macOS, InletDrift, que estableció una puerta trasera persistente.

Durante las semanas siguientes el malware fue desplegado en al menos las máquinas de tres firmantes.

Radiant requería 3 de 11 firmas para autorizar acciones privilegiadas en su multi-sig Safe. Cuando los atacantes estuvieron listos, activaron una transacción de aspecto rutinario en la interfaz de Gnosis Safe. A los ojos de los firmantes, la UI mostraba la transacción benigna que esperaban. El tráfico que realmente llegaba a sus hardware wallets, interceptado y reescrito por el malware, era una actualización maliciosa que transfería el control de los mercados de préstamos.

Tres firmas recogidas. La actualización se ejecutó. $53 M drenados a través de Arbitrum y BNB Chain.

Consecuencias

  • Mandiant y otros atribuyeron la operación a UNC4736 / Citrine Sleet — también rastreado como AppleJeus — un subgrupo de Lazarus conocido por la campaña InletDrift de larga duración.
  • El atacante de Radiant ha mantenido una porción sustancial del ETH robado y, según se informa, hizo crecer la posición a más de $100 M en valor en papel mediante posterior trading de ETH.
  • Radiant relanzó los mercados tras meses de auditorías y redespliegues de contratos. Las recuperaciones a usuarios afectados llegaron principalmente mediante reemisión de tokens controlada por gobernanza.

Por qué importa

Radiant fue el caso de libro de texto para lo que luego ocurrió a escala en WazirX y Bybit: la frontera de confianza de un hardware wallet termina en la pantalla desde la que se lee la transacción. Las pantallas independientes de simulación de transacciones y la verificación de calldata fuera de banda se han convertido desde entonces en práctica estándar para cualquier multi-sig que gestione TVL significativo.

Fuentes y evidencia on-chain

  1. [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-radiant-capital-hack-october-2024
  2. [02]onekey.sohttps://onekey.so/blog/ecosystem/one-pdf-50m-gone-the-radiant-capital-hack-explained/
  3. [03]medium.comhttps://medium.com/@marcellusv2/anatomy-of-a-53-million-hack-how-radiant-capitals-multisig-failed-121fca23a996

Registros relacionados