一份假 Offer 盗走 Axie infinity 5.4 亿美元

原文来源:Ryan Weeks,The Block
编译:Katie,星球日报

今年早些时候,黑客诱骗 Axie Infinity 的一名高级工程师申请了一家虚构的公司的工作,最终导致 Axie Infinity 遭受 5.4 亿美元加密货币的损失。以下是 The Block 报道的黑客入侵 Axie Infinity 的细节。

很少能有求职经历比 Axie Infinity 高级工程师的遭遇更刺激了。他对加入一家虚构公司的兴趣最终促成了加密行业最大的黑客攻击之一。

去年 11 月,Axie Infinity 游戏内 NFT 的日活跃用户一度达到 270 万,周交易额达到 2.14 亿美元(这两个数字后来都大幅下降)。

而今年 3 月,P2 E 链游龙头 Axie Infinity 的以太坊侧链 Ronin 损失了价值 5.4 亿美元的加密货币。虽然美国政府后来将这一事件与朝鲜黑客组织 Lazarus 联系在一起,但有关这次攻击是如何进行的全部细节尚未披露。其实毁掉 Ronin 的仅仅是一个虚假的招聘广告。两名了解此事的人士表示,Axie Infinity 的一名高级工程师被骗申请了一家实际上并不存在的公司的职位。由于事件的敏感性,这两名人士要求匿名。

据知情人士透露,今年早些时候,自称代表这家假冒公司的人通过 LinkedIn 和 WhatsApp 勾搭了 Axie Infinity 开发商 Sky Mavis 的员工,利用新工作机会引诱他。有消息称,在经过多轮面试后,Sky Mavis 的一名工程师获得了一份薪酬极其丰厚的工作。

这个虚假 Offer 是以 PDF 文件的形式发送的,工程师下载了这个文件——这让木马得以渗透到 Ronin 的系统中。从那时起,黑客可以攻击并接管 Ronin 网络上 9 个验证器中的 4 个,只差 1 个验证器无法完全控制。

Sky Mavis 在 4 月 27 日发布的一篇博文中对此次黑客攻击进行了分析,文章称:“员工在各种社交渠道上不断受到高级钓鱼网络攻击,其中一名员工遭到了攻击。这名员工已经不在 Sky Mavis 工作了。攻击者成功利用该访问权限渗透 Sky Mavis 的 IT 基础设施,并获得了对验证器节点的访问权限。”

验证器在区块链中可实现各种功能,包括创建交易区块和更新数据预言机。Ronin 使用所谓的“授权证明”(proof of authority)系统来签署交易,将权力集中在 9 个可信任的验证者手中。

区块链分析公司 Elliptic 在今年 4 月的一篇博客文章中解释说:“如果九个验证者中有五个批准,资金就可以转移出去。攻击者设法获得了 5 个验证器的私有加密密钥,这足以窃取加密资产。”

但在通过假招聘广告成功渗透到 Ronin 的系统后,黑客只控制了 9 个验证器中的 4 个——这意味着黑客还需要另一个才能控制 Ronin 系统。

在事后分析中,Sky Mavis 透露,黑客成功地使用了 Axie DAO(一个支持游戏生态系统的组织)来完成盗取。Sky Mavis 曾在 2021 年 11 月请求 Axie DAO 帮助处理交易负载问题。

“Axie DAO 允许 Sky Mavis 代表其签署各种交易。在 2021 年 12 月暂停,但允许访问列表没有被撤销,”Sky Mavis 在博客文章中说。“一旦攻击者进入 Sky Mavis 系统,他们就能从 Axie DAO 验证器获得签名。”

黑客入侵一个月后,Sky Mavis 将其验证器节点的数量增加到 11 个,并在博客文章中表示,其长期目标是超过 100 个。

当记者联系到 Sky Mavis 时,该公司拒绝就此次黑客攻击是如何进行的置评。LinkedIn 也多次拒绝置评。

今天早些时候,ESET 研究公司公布了一项调查,显示朝鲜黑客组织 Lazarus 用 LinkedIn 和 WhatsApp 冒充招募人员,目标人群是航空航天和国防承包商。但该报告并未将该技术与 Sky Mavis 黑客联系起来。

今年 4 月初,Sky Mavis 在由币安 领投的一轮融资中筹集了 1.5 亿美元。所得款项将与该公司备用资金一起用于补偿受该漏洞影响的用户。Axie Infinity 最近表示,将于 6 月 28 日开始向返还用户资金。在被黑客攻击时突然中断的 Ronin 的以太坊桥也于上周也重新启动了。

根据 The Block Research 的数据,今年 DeFi 黑客攻击事件频发,损失的资金总额超过 20 亿美元。1 月 1 日,这一数字仅为 7.6 亿美元。