Offer 裡藏木馬。

原文:How a fake job offer took down the world’s most popular crypto game (The Block)

作者: Ryan Weeks

編譯: Katie 辜,Odaily 星球日報譯者

封面: Photo by Mika Baumeister on Unsplash

今年早些時候,黑客誘騙 Axie Infinity 的一名高級工程師申請了一家虛構的公司的工作,最終導致 Axie Infinity 遭受 5.4 億美元加密貨幣的損失。以下是 The Block 報導的黑客入侵 Axie Infinity 的細節。

很少能有求職經歷比 Axie Infinity 高級工程師的遭遇更刺激了。他對加入一家虛構公司的興趣最終促成了加密行業最大的黑客攻擊之一。

去年 11 月,Axie Infinity 遊戲內 NFT 的日活躍用戶一度達到 270 萬,週交易額達到 2.14 億美元(這兩個數字後來都大幅下降)。

而今年 3 月,P2E 鏈遊龍頭 Axie Infinity 的以太坊側鏈 Ronin 損失了價值 5.4 億美元的加密貨幣。雖然美國政府後來將這一事件與朝鮮黑客組織 Lazarus 聯繫在一起,但有關這次攻擊是如何進行的全部細節尚未披露。其實毀掉 Ronin 的僅僅是一個虛假的招聘廣告。兩名了解此事的人士表示,Axie Infinity 的一名高級工程師被騙申請了一家實際上並不存在的公司的職位。由於事件的敏感性,這兩名人士要求匿名。

據知情人士透露,今年早些時候,自稱代表這家假冒公司的人通過 LinkedIn 和 WhatsApp 勾搭了 Axie Infinity 開發商 Sky Mavis 的員工,利用新工作機會引誘他。有消息稱,在經過多輪面試後,Sky Mavis 的一名工程師獲得了一份薪酬極其豐厚的工作。

這個虛假 Offer 是以 PDF 文件的形式發送的,工程師下載了這個文件——這讓木馬得以滲透到 Ronin 的系統中。從那時起,黑客可以攻擊並接管 Ronin 網絡上 9 個驗證器中的 4 個,只差 1 個驗證器無法完全控制。

Sky Mavis 在 4 月 27 日發布的一篇博文中對此次黑客攻擊進行了分析,文章稱:“員工在各種社交渠道上不斷受到高級釣魚網絡攻擊,其中一名員工遭到了攻擊。這名員工已經不在 Sky Mavis 工作了。攻擊者成功利用該訪問權限滲透 Sky Mavis 的 IT 基礎設施,並獲得了對驗證器節點的訪問權限。”

驗證器在區塊鏈中可實現各種功能,包括創建交易區塊和更新數據預言機。Ronin 使用所謂的 “授權證明”(proof of authority)系統來簽署交易,將權力集中在 9 個可信任的驗證者手中。

區塊鏈分析公司 Elliptic 在今年 4 月的一篇博客文章中解釋說:“如果九個驗證者中有五個批准,資金就可以轉移出去。攻擊者設法獲得了 5 個驗證器的私有加密密鑰,這足以竊取加密資產。”

但在通過假招聘廣告成功滲透到 Ronin 的系統後,黑客只控制了 9 個驗證器中的 4 個——這意味著黑客還需要另一個才能控制 Ronin 系統。

在事後分析中,Sky Mavis 透露,黑客成功地使用了 Axie DAO(一個支持遊戲生態系統的組織)來完成盜取。Sky Mavis 曾在 2021 年 11 月請求 Axie DAO 幫助處理交易負載問題。

“Axie DAO 允許 Sky Mavis 代表其簽署各種交易。在 2021 年 12 月暫停,但允許訪問列表沒有被撤銷,”Sky Mavis 在博客文章中說。“一旦攻擊者進入 Sky Mavis 系統,他們就能從 Axie DAO 驗證器獲得簽名。”

黑客入侵一個月後,Sky Mavis 將其驗證器節點的數量增加到 11 個,並在博客文章中表示,其長期目標是超過 100 個。

當記者聯繫到 Sky Mavis 時,該公司拒絕就此次黑客攻擊是如何進行的置評。LinkedIn 也多次拒絕置評。

今天早些時候,ESET 研究公司公佈了一項調查,顯示朝鮮黑客組織 Lazarus 用 LinkedIn 和 WhatsApp 冒充招募人員,目標人群是航空航天和國防承包商。但該報告並未將該技術與 Sky Mavis 黑客聯繫起來。

今年 4 月初,Sky Mavis 在由幣安 領投的一輪融資中籌集了 1.5 億美元。所得款項將與該公司備用資金一起用於補償受該漏洞影響的用戶。Axie Infinity 最近表示,將於 6 月 28 日開始向返還用戶資金。在被黑客攻擊時突然中斷的 Ronin 的以太坊橋也於上周也重新啟動了。

根據 The Block Research 的數據,今年 DeFi 黑客攻擊事件頻發,損失的資金總額超過 20 億美元。1 月 1 日,這一數字僅為 7.6 億美元。

免責聲明:作為區塊鏈信息平台,本站所發布文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。本文內容僅用於信息分享,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。