世界上很少能有有工作申請比Axie Infinity 的一位高級工程師更引人注目,他有興趣加入一家後來被證明是虛構的公司,而這導致了加密行業最大的黑客攻擊之一。

Ronin 是鏈遊Axie Infinity 專屬的以太坊側鏈,在3 月份的一次黑客事件中損失了5.4 億美元的加密貨幣。雖然美國政府後來將此事件與朝鮮黑客組織Lazarus 聯繫起來,但尚未披露有關如何執行該漏洞的全部細節。

據The Block報導,這個事件與一個虛假的招聘廣告相關。

兩位不願透露姓名的知情人士稱,今年早些時候,一位聲稱代表這家虛假公司的人通過領英聯繫了Axie Infinity 開發商Sky Mavis 的員工,並鼓勵他們申請工作。經過多輪面試後,Sky Mavis 的一名工程師獲得了一份薪酬極其豐厚的工作。

隨後,工程師收到了一封以PDF文檔呈現的偽造的“Offer”錄取信,工程師下載了該文檔——允許黑客軟件滲透到Ronin 的系統。從那裡,黑客能夠攻擊並接管Ronin 網絡上九個驗證器中的四個,只差一個驗證器無法完全控制。

在4 月27 日發布的關於黑客攻擊的事後博客文章中,Sky Mavis 說:“員工不斷受到各種社交渠道的高級網絡釣魚攻擊,一名員工遭到入侵。該員工不再在Sky Mavis 工作。攻擊者設法利用該訪問權限來滲透Sky Mavis IT 基礎設施並獲得對驗證節點的訪問權限。”

驗證器在區塊鏈中完成各種功能,包括創建交易塊和更新數據預言機。 Ronin 使用所謂的“權威證明”系統來簽署交易,將權力集中在九個受信任的驗證者手中。

區塊鏈分析公司Elliptic 在4 月份就該事件發表的一篇博客文章解釋說:“如果九個驗證者中有五個批准,則可以將資金轉出。攻擊者設法獲得了屬於五個驗證者的私鑰,這足以竊取加密資產。”

但在通過虛假招聘廣告成功滲透到Ronin 的系統後,黑客只控制了九個驗證者中的四個——這意味著他們需要另一個驗證者來控制。

Sky Mavis在其事後報告中透露,黑客設法使用Axie DAO一個為支持遊戲生態系統而設立的組織來完成攻擊。 Sky Mavis 曾在2021 年11 月請求DAO 幫助處理繁重的交易負載。

“Axie DAO 允許Sky Mavis 代表其簽署各種交易。這已於2021 年12 月停止,但未撤銷許可名單訪問權限,”Sky Mavis 在博客文章中說。 “一旦攻擊者能夠訪問Sky Mavis 系統,他們就能夠從Axie DAO 驗證器中獲取簽名。”

黑客攻擊一個月後,Sky Mavis 將其驗證節點的數量增加到11 個,並在博客文章中表示,其長期目標是擁有100 多個。

Sky Mavis 拒絕評論黑客是如何進行的。領英也沒有回應The Block的置評請求。

Sky Mavis在4 月初由Binance 牽頭的一輪融資中籌集了1.5 億美元。融資將與公司自有資金一起用於補償受攻擊影響的用戶。該公司最近表示,將於6 月28 日開始向用戶返還資金。在黑客攻擊時突然停止後,Ronin 的以太坊橋也於上週重新啟動。

今天早些時候,ESET Research發布了一項調查,顯示朝鮮的Lazarus 濫用LinkedIn 和WhatsApp,瞄準航空航天和國防承包商。但該報告並未將該技術與Sky Mavis 黑客行為聯繫起來。

此外,在今年4月,安全機構慢霧就發布安全提醒稱,朝鮮APT 組織Lazarus Group 使用一系列惡意應用程序針對數字貨幣行業進行定向APT 攻擊,具體方式包括:

1.該黑客組織充分採用社會工程學原理,在各大社交媒體中扮演角色(社交媒體包括Twitter、Facebook、LinkedIn等)

2.與區塊鏈行業開發人員聊天,接近,以便實施接下來的行動。

3.該黑客組織為了和開發人員“套近乎”,甚至建立自己的交易網站,通過這個看起來非常正常的網站,打出外包員工招募等幌子。

4.藉機騙取開發人員的信任,然後發送相關惡意軟件進行釣魚攻擊。 (發送DMG /EXE 木馬)

針對該事件,慢霧給出以下防范建議:

1.建議行業從業人員隨時關注國內外各大威脅平台安全情報,做好自我排查,提高警惕。

2.開發人員運行可執行程序之前,做好必要的安全檢查。

3.做好零信任機制,可以有效降低這類威脅帶來的風險。

4.建議Mac/Windows 實機運行的用戶保持安全軟件實時防護開啟,並隨時更新最新病毒庫。