출처: 토큰포스트
미국 디파이 플랫폼 래디언트캐피털(Radiant Capital)이 지난 10월 발생한 해킹 사건의 배후로 북한 연계 해킹 조직을 지목하고, 텔레그램을 통해 유포된 악성코드에 의한 침투 과정을 공개했다.
9일(현지시간) 크립토포테이토에 따르면, 래디언트캐피털은 맨디언트(Mandiant), 제로섀도우(zeroShadow), 하이퍼네이티브(Hypernative), 씰 911(SEAL 911) 등 사이버보안 업체들과 협력해 해킹 피해 조사 결과를 발표했다. 조사 결과 해킹은 지난 9월 11일 한 개발자가 전 계약직원을 사칭한 인물로부터 받은 텔레그램 메시지로부터 시작됐다.
공식 블로그에 따르면 해커는 스마트 계약 감사와 관련된 이력서 PDF 파일에 대한 피드백을 요청하며 접근했다.
해커는 정상적인 웹사이트로 위장해 의심을 피했고, ‘펜파이_해킹_분석_리포트.집’이라는 파일을 통해 인렛드리프트(INLETDRIFT)라는 맥OS 백도어 악성코드를 심었다. 이 악성코드는 외부 서버와 통신하며 실제 PDF를 보여줘 정상적인 파일로 위장했다.
래디언트는 거래 시뮬레이션과 페이로드 검증 등 엄격한 보안 프로토콜을 준수했으나, 악성코드가 프론트엔드 거래 데이터를 조작해 개발자들이 악의적 거래를 정상적인 것으로 오인하고 승인했다.
웹3 보안 솔루션 제공업체 제로섀도우는 래디언트 해킹 사건이 북한 연계 해커 소행이라는 평가에 동의했다. 제로섀도우는 “체인상과 체인 외부에서 수집한 여러 지표를 바탕으로 10월 16일 래디언트 사건이 북한 소행이라고 확신한다”고 밝혔다.
래디언트는 레이어제로(LayerZero) 기술을 활용한 크로스체인 기능을 제공하는 디파이 대출 프로토콜이다. 디파이라마(DefiLlama)에 따르면 현재 총 예치 자산(TVL)은 600만 달러 수준이다.
10월 해킹은 래디언트가 올해 겪은 첫 보안 사고는 아니다. 1월에도 스마트 계약 취약점 공격으로 450만 달러의 피해가 발생했다. 당시 TVL은 3억 달러를 넘어섰으나, 시장 상승세에도 불구하고 자산 규모는 크게 줄었다.
