Bagaimana Tawaran Pekerjaan Palsu Menghancurkan Game Crypto Paling Populer di Dunia

Sumber: https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game

Oleh Ryan Weeks

Beberapa hasil lamaran kerja lebih dramatis daripada yang terjadi pada insinyur senior di Axie Infinity. Ketertarikannya untuk bergabung dengan perusahaan fiktif menyebabkan salah satu peretasan terbesar di industri crypto.

Ronin adalah sidechain terkait Ethereum yang menjadi dasar dari game Axie Infinity. Axie Infinity kehilangan $540 juta dalam mata uang kripto dalam eksploitasi pada bulan Maret. Sementara pemerintah AS kemudian mengaitkan insiden itu dengan kelompok peretasan Korea Utara Lazarus, detail lengkap tentang bagaimana serangan itu dilakukan belum diungkapkan.

Blok sekarang dapat mengungkapkan bahwa iklan pekerjaan palsu menghancurkan Ronin.

Seorang insinyur senior di Axie Infinity ditipu untuk melamar posisi di sebuah perusahaan yang sebenarnya tidak ada, menurut dua orang yang mengetahui langsung masalah tersebut. Kedua orang itu berbicara tanpa menyebut nama karena sensitivitas masalah ini.

Axie Infinity sangat besar. Pada masa jayanya, para pekerja di Asia Tenggara bahkan mampu mencari nafkah dengan cara “bermain dan mencari nafkah”. Pada bulan November, NFT dalam gimnya memiliki 2,7 juta pengguna aktif harian dan $214 juta dalam volume transaksi mingguan — meskipun kedua angka tersebut telah turun secara signifikan.

Karyawan di pengembang Axie Infinity Sky Mavis didekati awal tahun ini oleh orang-orang yang mengaku mewakili perusahaan palsu dan mendorong mereka untuk melamar pekerjaan, menurut orang yang mengetahui masalah tersebut. Jalan itu dilakukan melalui situs jejaring profesional LinkedIn, sumber menambahkan.

Setelah beberapa putaran wawancara, seorang insinyur di Sky Mavis telah mendapatkan pekerjaan dengan gaji yang sangat baik, kata sumber.

"Penawaran" palsu dikirim sebagai file PDF, yang diunduh oleh insinyur - memungkinkan Trojan menyusup ke sistem Ronin. Dari sana, peretas dapat menyerang dan mengambil alih empat dari sembilan validator di jaringan Ronin — membuat mereka hanya memiliki satu validator di luar kendali penuh.

Dalam posting blog postmortem tentang peretasan pada 27 April, Sky Mavis mengatakan: "Karyawan terus-menerus menjadi sasaran serangan spear-phishing tingkat lanjut di berbagai saluran sosial dan satu karyawan disusupi. Karyawan itu tidak lagi bekerja di Sky Mavis. Penyerang berhasil untuk mengeksploitasi akses ini untuk menyusup ke infrastruktur IT Sky Mavis dan mendapatkan akses untuk memvalidasi node."

Validator melakukan berbagai fungsi di blockchain, termasuk membuat blok transaksi dan memperbarui oracle data. Ronin menggunakan apa yang disebutnya sistem "bukti otoritas" untuk menandatangani transaksi, memusatkan kekuasaan di tangan sembilan peserta tepercaya.

Sebuah posting blog oleh perusahaan analitik blockchain Elliptic tentang insiden di bulan April menjelaskan: "Jika lima dari sembilan validator menyetujui, dana dapat ditransfer ke kunci pribadi, yang cukup untuk mencuri aset kripto."

Tetapi setelah berhasil menyusup ke sistem Ronin melalui iklan pekerjaan palsu, peretas hanya mengambil kendali empat dari sembilan validator — artinya mereka membutuhkan validator lain untuk mengambil kendali.

Dalam postmortem, Sky Mavis mengungkapkan bahwa para peretas berhasil menggunakan Axie DAO (Decentralized Autonomous Organization) — sebuah organisasi yang dibentuk untuk mendukung ekosistem game — untuk melakukan serangan. Sky Mavis telah meminta DAO pada November 2021 untuk membantu menangani beban transaksi yang berat.

"Axie DAO mengizinkan Sky Mavis menandatangani berbagai transaksi atas namanya. Ini dihentikan pada Desember 2021, tetapi akses daftar izin tidak dicabut," kata Sky Mavis dalam postingan blog. "Begitu penyerang memperoleh akses ke sistem Sky Mavis, mereka dapat memperoleh tanda tangan dari validator Axie DAO."

Sebulan setelah peretasan, Sky Mavis meningkatkan jumlah node validatornya menjadi 11 dan menyatakan dalam posting blog bahwa tujuan jangka panjangnya adalah memiliki lebih dari 100.

Sky Mavis menolak mengomentari bagaimana peretasan itu dilakukan. LinkedIn tidak menanggapi beberapa permintaan komentar.

Sebelumnya hari ini, ESET Research menerbitkan penyelidikan yang menunjukkan bahwa Lazarus Korea Utara menyalahgunakan LinkedIn dan WhatsApp untuk menargetkan kontraktor kedirgantaraan dan pertahanan dengan menyamar sebagai perekrut. Namun laporan tersebut tidak mengaitkan teknologi tersebut dengan peretasan Sky Mavis.

Sky Mavis mengumpulkan $150 juta dalam putaran pendanaan yang dipimpin oleh Binance pada awal April. Hasil akan digunakan, bersama dengan dana perusahaan sendiri, untuk mengkompensasi pengguna yang terkena eksploitasi. Perusahaan baru-baru ini mengatakan akan mulai mengembalikan dana kepada pengguna pada 28 Juni. Jembatan ethereum Ronin juga dimulai kembali minggu lalu setelah berhenti tiba-tiba pada saat peretasan.

Menurut The Block Research, laju peretasan DeFi telah meningkat pesat tahun ini, dengan total dana yang hilang lebih dari $2 miliar. Pada 1 Januari, jumlahnya mencapai $760 juta.