很少有工作申请比 Axie Infinity 的一位高级工程师更引人注目,他有兴趣加入一家被证明是虚构的公司,这导致了加密行业最大的黑客攻击之一。
Ronin 是支持玩赚游戏 Axie Infinity 的与以太坊相关的侧链,在 3 月份的一次漏洞利用中损失了 5.4 亿美元的加密货币。虽然美国政府后来将此事件与朝鲜黑客组织 Lazarus 联系起来,但尚未披露有关如何执行该漏洞的全部细节。
现在我们来揭示一个虚假的招聘广告是如何摧毁 Ronin的。
据两名直接了解此事的人士称,由于事件的敏感性,他们不愿透露姓名,Axie Infinity 的一名高级工程师被骗申请了一家实际上并不存在的公司的工作。
Axie Infinity 的数据非常亮眼。在鼎盛时期,东南亚的工人甚至能够通过“玩赚”游戏谋生。去年 11 月,它的游戏内 NFT拥有270 万日活跃用户和2.14 亿美元的每周交易量——尽管这两个数字此后都大幅下降。
据知情人士透露,今年早些时候,声称代表这家假公司的人联系了 Axie Infinity 开发商 Sky Mavis 的员工,并鼓励他们申请工作。一位消息人士补充说,这些方法是通过专业网站 LinkedIn 进行的。
一位消息人士称,经过多轮面试后,Sky Mavis 的一名工程师获得了一份薪酬极其丰厚的工作。
伪造的“报筹”以 PDF 文档的形式提供,工程师下载了该文档——允许间谍软件渗透到 Ronin 的系统。从那里,黑客能够攻击并接管 Ronin 网络上九个验证者中的四个——让他们只有一个验证者无法完全控制。
在4 月 27 日发布的关于黑客攻击的事后博客文章中,Sky Mavis 说:“员工不断受到各种社交渠道的高级鱼叉式网络钓鱼攻击,一名员工遭到入侵。该员工不再在 Sky Mavis 工作。攻击者设法利用该访问权限来渗透 Sky Mavis IT 基础设施并获得对验证节点的访问权限。”
验证器在区块链中完成各种功能,包括创建交易区块和更新数据预言机。Ronin 使用所谓的“权威证明”系统来签署交易,将权力集中在九个受信任的参与者手中。
区块链分析公司 Elliptic 在4 月份就该事件发表的一篇博客文章解释说:“如果九个验证者中有五个批准,则可以将资金转出。攻击者设法获得了属于五个验证者的私钥,这足以窃取加密资产。”
但在通过虚假招聘广告成功渗透到 Ronin 的系统后,黑客只控制了九个验证者中的四个——这意味着他们需要另一个验证者来控制。
Sky Mavis在事后分析中透露,黑客设法使用 Axie DAO(去中心化自治组织)——一个为支持游戏生态系统而设立的组织——来完成攻击。Sky Mavis 曾在 2021 年 11 月请求 DAO 帮助处理繁重的交易负载。
“Axie DAO 允许 Sky Mavis 代表其签署各种交易。这已于 2021 年 12 月停止,但未撤销许可名单访问权限,”Sky Mavis 在博客文章中说。“一旦攻击者能够访问 Sky Mavis 系统,他们就能够从 Axie DAO 验证器中获取签名。”
黑客攻击一个月后,Sky Mavis 将其验证节点的数量增加到 11 个,并在博客文章中表示,其长期目标是拥有 100 多个。
Sky Mavis 拒绝评论黑客是如何进行的。LinkedIn没有回应多个置评请求。
今天早些时候,ESET Research发布了一项调查,显示朝鲜的 Lazarus 滥用 LinkedIn 和 WhatsApp,冒充招聘人员瞄准航空航天和国防承包商。但该报告并未将该技术与 Sky Mavis 黑客行为联系起来。
Sky Mavis在 4 月初由 Binance 牵头的一轮融资中筹集了 1.5 亿美元。收益将与公司自有资金一起用于补偿受漏洞利用影响的用户。该公司最近表示,将于 6 月 28 日开始向用户返还资金。在被黑客攻击突然停止后,Ronin 的以太坊桥也于上周重新启动。
根据The Block Research 的数据,今年 DeFi 黑客攻击的速度迅速加快,损失的资金总额超过 20 亿美元。1 月 1 日,这个数字为 7.6 亿美元。