Xakep #305. Многошаговые SQL-инъекции
На прошлой неделе у децентрализованной платформы Radiant Capital похитили криптовалюту на сумму более 50 млн долларов США. В компании сообщили, что атака затронула трех разработчиков, которые давно сотрудничали с платформой.
Сразу несколько ИБ-специалистов пишут в социальных сетях, что хакеры получили доступ к приватным ключам, принадлежащим разработчикам Radiant Capital, что в итоге позволило злоумышленникам похитить средства пользователей. При этом некоторые исследователи утверждают, что потери компании могут достигать 58 млн долларов США.
«Пострадавшие разработчики использовали аппаратные кошельки и находились в разных географических точках, что снижало вероятность скоординированной физической атаки, —заявили в компании. — [Тем не менее], злоумышленники смогли скомпрометировать устройства как минимум трех основных контрибуторов с помощью сложной инъекции вредоносного ПО. Затем эти скомпрометированные устройства использовались для подписания вредоносных транзакций».
При этом в Radiant Capital считают, что атакам могли подвергнуться и другие устройства, других разработчиков.
В Telegram-канале компании представитель Radiant Capital Константин Левин сообщил, что в расследовании атаки принимают участие американские правоохранительные органы, а также несколько компаний, специализирующихся на блокчейн-безопасности.
По словам Левина, компания «столкнулась с очень изощренным нарушением безопасности, в результате которого потеряла 50 миллионов долларов». Он отмечает, что устройства разработчиков были скомпрометированы таким образом, что «отображали легитимные данные о транзакциях, в то время как вредоносные транзакции подписывались и выполнялись в фоновом режиме». Также сообщается, что взломанные устройства «не демонстрировали никаких очевидных предупреждений, не считая незначительных сбоев и сообщений об ошибках».
«Компания глубоко потрясена этой атакой и продолжит активно сотрудничать с соответствующими органами, чтобы как можно скорее установить личность злоумышленника и вернуть украденные средства», — пишет Левин.
При этом пока не сообщается, планирует ли платформа выплатить компенсацию пострадавшим пользователям, у которых были похищены средства.