레디언트 캐피탈(Radiant Capital)은 10월 자사의 탈중앙 금융(DeFi) 플랫폼에서 발생한 5천만 달러 규모의 해킹 사건이 북한과 연관된 해커가 전직 계약자를 사칭하며 텔레그램을 통해 전송한 악성 소프트웨어로 인해 발생했다고 밝혔다. 12월 6일 진행된 조사 업데이트에서, 레디언트는 계약한 사이버 보안 회사인 맨디안트(Mandiant)가 “이번 공격이 조선민주주의인민공화국(DPRK)과 연결된 위협 행위자에 기인한 것이라는 점을 높은 확신으로 평가한다”고 전했다.
10월 16일, 해당 DeFi 플랫폼은 해커가 여러 서명자의 개인 키와 스마트 계약에 대한 통제권을 가져간 후, 발생한 사건으로 인해 대출 시장을 중단해야 했다. 이번 해킹은 9월 11일, 레디언트의 한 개발자가 “신뢰할 수 있는 전 계약자”로부터 피드백 요청을 받는 텔레그램 메시지와 함께 ZIP 파일을 수신한 것에서 시작되었다. 해당 ZIP 파일은 개발자들 사이에 공유되었고, 그 결과 악성 소프트웨어가 전달되어 보안 침해가 발생했다.
레디언트는 해당 파일이 의심스럽지 않게 보였던 이유로, “PDF 검토 요청은 전문적인 환경에서 일반적인 일”이며, 개발자들이 “종종 이러한 형식으로 문서를 공유한다”고 설명했다. 또한, ZIP 파일과 연관된 도메인은 전 계약자의 실제 웹사이트를 위조한 것이었다. 공격 중 여러 레디언트 개발자의 기기가 감염되었고, 사용자 인터페이스에서는 무해한 거래 데이터가 표시되었으나, 실제로는 악의적인 거래가 백그라운드에서 진행되었다.
레디언트는 전통적인 검증 및 시뮬레이션으로는 명백한 차이를 발견할 수 없어, 공격이 일반적인 검토 단계에서 사실상 보이지 않게 이루어졌다고 덧붙였다. 이는 레디언트의 표준 보안 절차조차도 고도화된 위협 행위자에 의해 우회될 수 있음을 보여준다. 레디언트는 우려의 목소리를 높이며 “무분별한 서명과 프론트엔드 검증은 위조될 수 있는 만큼, 거래 페이로드를 해독하고 검증하기 위한 더 강력한 하드웨어 기반 솔루션 개발이 필요하다”고 강조했다.
이번 사건 이후, 해커는 10월 24일 경에 5천200만 달러 규모의 자금을 이동시켰다. 레디언트는 올해 초에도 450만 달러 규모의 플래시 론 공격을 당한 바 있어, 보안 측면에서 지속적인 문제가 제기되고 있다. 같은 해 두 차례의 공격 이후, 레디언트의 잠금 자산 총액은 작년 300억 달러 이상에서 12월 9일 현재 약 581만 달러로 급감했다.
