一个虚假的工作机会如何摧毁了世界上最受欢迎的加密游戏

分析

来源:https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game

作者:Ryan Weeks

很少有求职申请的结果比Axie Infinity的一名高级工程师的遭遇更引人瞩目。他对加入一家虚构公司的兴趣,导致了加密行业最大的黑客攻击之一。

Ronin 是一个与以太坊相关的侧链,是游戏 Axie Infinity 的基础。 Axie Infinity在 3 月份的一次漏洞利用中损失了 5.4 亿美元的加密货币。虽然美国政府后来将此事件与朝鲜黑客组织 Lazarus 联系起来,但有关这次攻击是如何进行的全部细节尚未披露。

The Block 现在可以揭示一个虚假的招聘广告摧毁了 Ronin。

据两名直接了解此事的人士称,Axie Infinity的一名高级工程师被骗申请了一家实际上并不存在的公司的职位。由于事件的敏感性,这两名人士要求匿名。

Axie Infinity 是巨大的。在鼎盛时期,东南亚的工人甚至能够通过“玩赚”游戏谋生。去年 11 月,它的游戏内 NFT 拥有 270 万日活跃用户和 2.14 亿美元的每周交易量——尽管此后这两个数字后来都大幅下降。

据知情人士透露,今年早些时候,自称代表这家假冒公司的人接触了《Axie Infinity》开发商Sky Mavis的员工,并鼓励他们申请工作。一位消息人士补充说,这些途径是通过专业社交网站LinkedIn进行的。 

有消息称,在经过多轮面试后,Sky Mavis 的一名工程师获得了一份薪酬极其丰厚的工作。

这个虚假的“报价”是以PDF文件的形式发送的,工程师下载了这个文件——这让木马得以渗透到 Ronin 的系统。从那里,黑客能够攻击并接管 Ronin 网络上九个验证器中的四个——让他们只有一个验证器无法完全控制。

在 4 月 27 日发布的关于黑客攻击的事后博客文章中,Sky Mavis 说:“员工在各种社交渠道上不断受到高级鱼叉式网络钓鱼攻击,一名员工遭到入侵。该员工不再在 Sky Mavis 工作。攻击者设法利用该访问权限来渗透 Sky Mavis IT 基础设施并获得对验证节点的访问权限。”

验证器在区块链中可实现各种功能,包括创建交易区块和更新数据预言机。Ronin 使用所谓的“权威证明”系统来签署交易,将权力集中在九个受信任的参与者手中。

区块链分析公司 Elliptic 在 4 月份就该事件发表的一篇博客文章解释说:“如果九个验证器中有五个批准,则可以将资金转出。攻击者设法获得了属于五个验证器的私钥,这足以窃取加密资产。”

但在通过虚假招聘广告成功渗透到 Ronin 的系统后,黑客只控制了九个验证器中的四个——这意味着他们需要另一个验证器来控制。

在事后分析中,Sky Mavis 透露,黑客设法使用 Axie DAO(去中心化自治组织)——一个为支持游戏生态系统而设立的组织——来完成攻击。 Sky Mavis 曾在 2021 年 11 月请求 DAO 帮助处理繁重的交易负载。

“Axie DAO 允许 Sky Mavis 代表其签署各种交易。这已于 2021 年 12 月停止,但未撤销许可名单访问权限,”Sky Mavis 在博客文章中说。 “一旦攻击者能够访问 Sky Mavis 系统,他们就能够从 Axie DAO 验证器中获取签名。”

黑客攻击一个月后,Sky Mavis 将其验证节点的数量增加到 11 个,并在博客文章中表示,其长期目标是拥有 100 多个。

Sky Mavis 拒绝评论黑客是如何进行的。领英没有回应多个置评请求。

今天早些时候,ESET Research 发布了一项调查,显示朝鲜的 Lazarus 滥用 LinkedIn 和 WhatsApp,冒充招聘人员目标是航空航天和国防承包商。但该报告并未将该技术与 Sky Mavis 黑客行为联系起来。

Sky Mavis 在 4 月初由币安牵头的一轮融资中筹集了 1.5 亿美元。所得款项将与公司自有资金一起用于补偿受漏洞利用影响的用户。该公司最近表示,将于 6 月 28 日开始向用户返还资金。在黑客攻击时突然停止后,Ronin 的以太坊桥也于上周重新启动。

根据 The Block Research 的数据,今年 DeFi 黑客攻击的速度迅速加快,损失的资金总额超过 20 亿美元。1 月 1 日,这个数字为 7.6 亿美元。

Leave a Reply

Your email address will not be published. Required fields are marked *

five − five =