一份假 Offer 如何盗走「Axie Infinity」5.4 亿美元？

Offer 里藏木马。

原文：How a fake job offer took down the world’s most popular crypto game （The Block）

作者：Ryan Weeks

编译： Katie 辜，Odaily 星球日报译者

封面：Photo by Mika Baumeister on Unsplash

今年早些时候，黑客诱骗 Axie Infinity   的一名高级工程师申请了一家虚构的公司的工作，最终导致 Axie Infinity  遭受 5.4  亿美元加密货币的损失。以下是 The Block 报道的黑客入侵 Axie Infinity  的细节。

很少能有求职经历比 Axie Infinity 高级工程师的遭遇更刺激了。他对加入一家虚构公司的兴趣最终促成了加密行业最大的黑客攻击之一。

去年 11  月，Axie Infinity  游戏内 NFT   的日活跃用户一度达到 270  万，周交易额达到 2.14  亿美元（这两个数字后来都大幅下降）。

而今年 3  月，P2E 链游龙头 Axie Infinity  的以太坊侧链 Ronin  损失了价值 5.4 亿美元的加密货币。虽然美国政府后来将这一事件与朝鲜黑客组织 Lazarus  联系在一起，但有关这次攻击是如何进行的全部细节尚未披露。其实毁掉 Ronin  的仅仅是一个虚假的招聘广告。两名了解此事的人士表示，Axie Infinity  的一名高级工程师被骗申请了一家实际上并不存在的公司的职位。由于事件的敏感性，这两名人士要求匿名。

据知情人士透露，今年早些时候，自称代表这家假冒公司的人通过 LinkedIn 和  WhatsApp 勾搭了 Axie Infinity  开发商 Sky Mavis  的员工，利用新工作机会引诱他。有消息称，在经过多轮面试后，Sky Mavis  的一名工程师获得了一份薪酬极其丰厚的工作。

这个虚假 Offer 是以 PDF  文件的形式发送的，工程师下载了这个文件——这让木马得以渗透到 Ronin  的系统中。从那时起，黑客可以攻击并接管 Ronin  网络上 9  个验证器中的 4  个，只差 1  个验证器无法完全控制。

Sky Mavis  在 4 月 27  日发布的一篇博文中对此次黑客攻击进行了分析，文章称：“员工在各种社交渠道上不断受到高级钓鱼网络攻击，其中一名员工遭到了攻击。这名员工已经不在 Sky Mavis  工作了。攻击者成功利用该访问权限渗透 Sky Mavis  的 IT  基础设施，并获得了对验证器节点的访问权限。”

验证器在区块链中可实现各种功能，包括创建交易区块和更新数据预言机。Ronin  使用所谓的 “授权证明”（proof of authority）系统来签署交易，将权力集中在 9  个可信任的验证者手中。

区块链分析公司 Elliptic  在今年 4  月的一篇博客文章中解释说：“如果九个验证者中有五个批准，资金就可以转移出去。攻击者设法获得了 5  个验证器的私有加密密钥，这足以窃取加密资产。”

但在通过假招聘广告成功渗透到 Ronin  的系统后，黑客只控制了 9  个验证器中的 4 个——这意味着黑客还需要另一个才能控制 Ronin  系统。

在事后分析中，Sky Mavis  透露，黑客成功地使用了 Axie DAO  （一个支持游戏生态系统的组织）来完成盗取。Sky Mavis  曾在 2021 年 11  月请求 Axie DAO  帮助处理交易负载问题。

“Axie DAO  允许 Sky Mavis  代表其签署各种交易。在 2021  年 12  月暂停，但允许访问列表没有被撤销，”Sky Mavis  在博客文章中说。“一旦攻击者进入 Sky Mavis  系统，他们就能从 Axie DAO  验证器获得签名。”

黑客入侵一个月后，Sky Mavis  将其验证器节点的数量增加到 11  个，并在博客文章中表示，其长期目标是超过 100  个。

当记者联系到 Sky Mavis  时，该公司拒绝就此次黑客攻击是如何进行的置评。LinkedIn  也多次拒绝置评。

今天早些时候，ESET  研究公司公布了一项调查，显示朝鲜黑客组织 Lazarus  用 LinkedIn 和 WhatsApp  冒充招募人员，目标人群是航空航天和国防承包商。但该报告并未将该技术与 Sky Mavis  黑客联系起来。

今年 4  月初，Sky Mavis  在由币安  领投的一轮融资中筹集了 1.5  亿美元。所得款项将与该公司备用资金一起用于补偿受该漏洞影响的用户。Axie Infinity  最近表示，将于 6  月 28  日开始向返还用户资金。在被黑客攻击时突然中断的 Ronin  的以太坊桥也于上周也重新启动了。

根据 The Block Research  的数据，今年 DeFi  黑客攻击事件频发，损失的资金总额超过 20  亿美元。1  月 1  日，这一数字仅为 7.6  亿美元。

免责声明：作为区块链信息平台，本站所发布文章仅代表作者及嘉宾个人观点，与 Web3Caff 立场无关。本文内容仅用于信息分享，均不构成任何投资建议及要约，并请您遵守所在国家或地区的相关法律法规。