加密链游龙头 Axie 是怎么因假 offer 被盗的?

原文链接:How a fake job offer took down the world’s most popular crypto game
原文作者:Ryan Weeks
翻译&审校:Diamond;Diane;Claire

省流助手

  • 黑客用一家虚构公司的招聘机会骗了 Axie Infinity 的高级工程师。
  • 该计划导致 Axie 在今年早些时候损失了价值 5.4 亿美元的加密货币。
  • The Block 首发报道黑客对 Axie 进行攻击的细节。

你能想象一次求职申请导致了加密行业最大的黑客攻击之一吗?Axie Infinity 的一名高级工程师因接受了一个虚构公司的“offer”,引发了这次备受关注的 Ronin 被盗事件。

链游 Axie Infinity 搭建于 Ronin 链,它是连接在以太坊上的侧链。Ronin 在 3 月份时因一个漏洞损失了价值 5.4 亿美元的加密货币。虽然美国政府后来将这一事件与朝鲜黑客组织 Lazarus 联系起来,但关于该漏洞是如何发生的细节还没有披露。

The Block 现在可以透露,Ronin 的败笔皆因一个虚假的招聘广告而起。

据两位不愿透露姓名的知情人士称,Axie Infinity 公司的一位高级工程师被骗去申请一家虚构的公司工作。

Axie Infinity 的规模巨大。在其巅峰期,很多东南亚的工人甚至能够通过这个游戏来赚钱生活。去年 11 月,该游戏拥有 270 万的日活用户,游戏中的 NFT 交易量达到每周 2.14 亿美元,虽然后来这两个数据都大幅下降了。

据知情人士称,今年早些时候,这家虚构公司的代表联系到了 Axie Infinity 开发商 Sky Mavis 的员工,并鼓励其申请该公司的工作。有消息补充道,这些行为都是通过专业网站 LinkedIn 进行的。

根据消息描述,在多轮面试之后,一位 Sky Mavis 的工程师得到了一份报酬极为丰厚的工作 offer。

这个假“offer”是以 PDF 文件的形式发送的,当这位工程师下载了该文件,间谍软件就渗透到了 Ronin 的系统中。从这个漏洞中,黑客攻击并控制了 Ronin 网络上 9 个验证节点中的 4 个,只剩 1 个验证节点没被完全控制。

Sky Mavis 在 4 月 27 日发表的黑客事件事后总结博文中表示:“员工在各种社交渠道上不断受到高级鱼叉式网络钓鱼攻击,有一名员工被攻破。这名员工已不在 Sky Mavis 工作。黑客设法利用这一权限,渗透到 Sky Mavis 的 IT 基础设施,并获得了验证节点的访问权限。”

验证节点在区块链中履行各种职能,包括创建交易区块和更新预言机数据。Ronin 使用一个号称“权威证明”系统来签署交易,并将签署权集中在 9 个受信任的参与者手中。

区块链分析公司 Elliptic 于今年 4 月发表了一篇关于该事件的博客,并在文章中解释道,“如果 9 个验证节点中有任意 5 个批准通过,资产就可以被转移出去。攻击者正是利用了这一特性,设法获得了其中 5 个验证节点的私钥,来窃取加密资产。”

但是,黑客在通过虚假招聘广告成功渗入 Ronin 公司的系统后,只控制住了 9 个验证器中的 4 个,这意味着黑客们还需要控制另一个验证节点才能控制资产。

在该事件复盘中,Sky Mavis 透露,黑客设法利用 Axie DAO(去中心化自治组织)来完成此次窃取行动,这是一个为支持游戏生态系统而成立的自治组织。Sky Mavis 曾在 2021 年 11 月向 DAO 寻求帮助,以处理繁杂的交易负荷。

"Axie DAO 允许 Sky Mavis 代表其签署各种交易。尽管这项合作在 2021 年 12 月被停止了,但 Sky Mavis 的权限并没有被撤销。" Sky Mavis 在博文中说,"一旦攻击者获得对 Sky Mavis 系统的访问权,他们就能从 Axie DAO 的验证节点中获得签名。”

发生黑客事件一个月之后,Sky Mavis 将其验证节点的数量增加到了 11 个,并在博客中表示,其长期目标是拥有超过 100 个验证节点。

当记者联系到 Sky Mavis 时,该公司拒绝评论此次黑客攻击的发生过程。LinkedIn 也没有回应记者的多次置评请求。

今天早些时候,ESET Research发布了一项调查显示,朝鲜的 Lazarus 滥用 LinkedIn 以及 WhatsApp, 冒充招聘人员,针对航空航天以及国防承包商进行攻击。但是该报告并没有将该技术手段与 Sky Mavis 的黑客事件联系起来。

今年 4 月初,Sky Mavis 在由币安领投的一轮融资中筹集到了 1.5 亿美元。Sky Mavis 将把这些资金与公司的自有财产一起用于补偿在此次事件中遭受损失的用户。该公司最近表示于 6 月 28 日开始向用户返还资金。在被黑客攻击时突然中断的 Ronin 的以太坊桥在上周也重新启动了。

根据 The Block Research 的数据,今年黑客对 DeFi 的攻击迅速增加,损失资金总额达到了20 亿美元。在 1 月 1 日,该数据为 7.6 亿美元。

Subscribe to D-Tiger Research Institute
Receive the latest updates directly to your inbox.
Verification
This entry has been permanently stored onchain and signed by its creator.