Nguồn: https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game
Bởi tuần Ryan
Rất ít kết quả xin việc ấn tượng hơn những gì đã xảy ra với một kỹ sư cấp cao tại Axie Infinity. Sở thích tham gia một công ty hư cấu của anh ấy đã dẫn đến một trong những vụ hack lớn nhất trong ngành công nghiệp tiền điện tử.
Ronin là một sidechain liên quan đến Ethereum, là nền tảng cho trò chơi Axie Infinity. Axie Infinity đã mất 540 triệu đô la tiền điện tử trong một vụ khai thác vào tháng 3. Mặc dù chính phủ Hoa Kỳ sau đó đã liên kết vụ việc với nhóm tin tặc Lazarus của Bắc Triều Tiên, nhưng chi tiết đầy đủ về cách thức thực hiện cuộc tấn công vẫn chưa được tiết lộ.
Giờ đây, The Block có thể tiết lộ rằng một quảng cáo việc làm giả đã phá hủy Ronin.
Một kỹ sư cấp cao tại Axie Infinity đã bị lừa khi ứng tuyển vào một vị trí tại một công ty không thực sự tồn tại, theo hai người có kiến thức trực tiếp về vấn đề này. Hai người nói với điều kiện giấu tên do tính nhạy cảm của vấn đề.
Axie Infinity rất lớn. Vào thời hoàng kim, người lao động ở Đông Nam Á thậm chí còn có thể kiếm sống bằng cách “vừa chơi vừa kiếm”. Vào tháng 11, NFT trong trò chơi của nó có 2,7 triệu người dùng hoạt động hàng ngày và khối lượng giao dịch hàng tuần là 214 triệu đô la — mặc dù cả hai con số này đã giảm đáng kể kể từ đó.
Các nhân viên tại nhà phát triển Sky Mavis của Axie Infinity đã được tiếp cận vào đầu năm nay bởi những người tự xưng là đại diện cho công ty không có thật và khuyến khích họ nộp đơn xin việc, theo những người quen thuộc với vấn đề này. Một nguồn tin cho biết thêm, những con đường đó được thực hiện thông qua trang mạng chuyên nghiệp LinkedIn.
Sau nhiều vòng phỏng vấn, một kỹ sư tại Sky Mavis đã nhận được một công việc được trả lương rất cao, các nguồn tin cho biết.
"Ưu đãi" giả được gửi dưới dạng tệp PDF mà kỹ sư này đã tải xuống -- cho phép Trojan xâm nhập vào hệ thống của Ronin. Từ đó, tin tặc có thể tấn công và chiếm quyền kiểm soát bốn trong số chín trình xác thực trên mạng Ronin — khiến chúng chỉ còn một trình xác thực ngoài tầm kiểm soát hoàn toàn.
Trong một bài đăng trên blog sau khi khám nghiệm tử thi về vụ hack vào ngày 27 tháng 4, Sky Mavis cho biết: "Các nhân viên liên tục phải chịu các cuộc tấn công lừa đảo nâng cao trên nhiều kênh xã hội khác nhau và một nhân viên đã bị xâm nhập. Nhân viên này không còn ở trong công việc của Sky Mavis nữa. Những kẻ tấn công đã quản lý để khai thác quyền truy cập này để xâm nhập vào cơ sở hạ tầng CNTT của Sky Mavis và giành quyền truy cập vào các nút xác thực."
Trình xác thực thực hiện các chức năng khác nhau trong chuỗi khối, bao gồm tạo khối giao dịch và cập nhật dữ liệu tiên tri. Ronin sử dụng cái mà nó gọi là hệ thống "bằng chứng về thẩm quyền" để ký các giao dịch, tập trung quyền lực vào tay của chín người tham gia đáng tin cậy.
Một bài đăng trên blog của công ty phân tích chuỗi khối Elliptic về vụ việc vào tháng 4 đã giải thích: “Nếu năm trong số chín trình xác thực chấp thuận, tiền có thể được chuyển ra khỏi khóa riêng tư, đủ để đánh cắp tài sản tiền điện tử.”
Nhưng sau khi xâm nhập thành công vào hệ thống của Ronin thông qua quảng cáo việc làm giả mạo, tin tặc chỉ kiểm soát được bốn trong số chín trình xác thực — nghĩa là chúng cần một trình xác thực khác để nắm quyền kiểm soát.
Sau khi khám nghiệm tử thi, Sky Mavis tiết lộ rằng tin tặc đã sử dụng Axie DAO (Tổ chức tự trị phi tập trung) — một tổ chức được thành lập để hỗ trợ hệ sinh thái trò chơi — để thực hiện cuộc tấn công. Sky Mavis đã yêu cầu DAO vào tháng 11 năm 2021 để giúp xử lý khối lượng giao dịch lớn.
"Axie DAO cho phép Sky Mavis thay mặt mình ký nhiều giao dịch khác nhau. Điều này đã bị ngừng vào tháng 12 năm 2021, nhưng quyền truy cập danh sách quyền không bị thu hồi," Sky Mavis cho biết trong một bài đăng trên blog. "Khi những kẻ tấn công giành được quyền truy cập vào hệ thống Sky Mavis, chúng có thể lấy được chữ ký từ những người xác thực Axie DAO."
Một tháng sau vụ hack, Sky Mavis đã tăng số lượng nút xác thực lên 11 và tuyên bố trong một bài đăng trên blog rằng mục tiêu dài hạn của nó là có hơn 100 nút.
Sky Mavis từ chối bình luận về cách thức thực hiện vụ hack. LinkedIn đã không trả lời nhiều yêu cầu bình luận.
Đầu ngày hôm nay, ESET Research đã công bố một cuộc điều tra cho thấy Lazarus của Triều Tiên đang lạm dụng LinkedIn và WhatsApp để nhắm mục tiêu vào các nhà thầu hàng không vũ trụ và quốc phòng bằng cách giả làm nhà tuyển dụng. Nhưng báo cáo không liên kết công nghệ với vụ hack Sky Mavis.
Sky Mavis đã huy động được 150 triệu đô la trong vòng tài trợ do Binance dẫn đầu vào đầu tháng Tư. Tiền thu được sẽ được sử dụng, cùng với quỹ riêng của công ty, để bồi thường cho những người dùng bị ảnh hưởng bởi việc khai thác. Công ty gần đây cho biết họ sẽ bắt đầu trả lại tiền cho người dùng vào ngày 28 tháng 6. Cầu ethereum của Ronin cũng đã được khởi động lại vào tuần trước sau khi nó dừng đột ngột vào thời điểm xảy ra vụ hack.
Theo The Block Research, tốc độ của các vụ hack DeFi đã tăng nhanh chóng trong năm nay, với tổng số tiền bị mất hơn 2 tỷ đô la. Vào ngày 1 tháng 1, con số này là 760 triệu đô la.