今年早些时候,黑客诱骗 Axie Infinity 的一名高级工程师申请了一家虚构的公司的工作,最终导致 Axie Infinity 遭受 5.4 亿美元加密货币的损失。以下是 The Block 报道的黑客入侵 Axie Infinity 的细节。
很少能有求职经历比 Axie Infinity 高级工程师的遭遇更刺激了。他对加入一家虚构公司的兴趣最终促成了加密行业最大的黑客攻击之一。
去年 11 月,Axie Infinity 游戏内 NFT 的日活跃用户一度达到 270 万,周交易额达到 2.14 亿美元(这两个数字后来都大幅下降)。
而今年 3 月,P2 E 链游龙头 Axie Infinity 的以太坊侧链 Ronin 损失了价值 5.4 亿美元的加密货币。虽然美国政府后来将这一事件与朝鲜黑客组织 Lazarus 联系在一起,但有关这次攻击是如何进行的全部细节尚未披露。其实毁掉 Ronin 的仅仅是一个虚假的招聘广告。两名了解此事的人士表示,Axie Infinity 的一名高级工程师被骗申请了一家实际上并不存在的公司的职位。由于事件的敏感性,这两名人士要求匿名。
据知情人士透露,今年早些时候,自称代表这家假冒公司的人通过 LinkedIn 和 WhatsApp 勾搭了 Axie Infinity 开发商 Sky Mavis 的员工,利用新工作机会引诱他。有消息称,在经过多轮面试后,Sky Mavis 的一名工程师获得了一份薪酬极其丰厚的工作。
这个虚假 Offer 是以 PDF 文件的形式发送的,工程师下载了这个文件——这让木马得以渗透到 Ronin 的系统中。从那时起,黑客可以攻击并接管 Ronin 网络上 9 个验证器中的 4 个,只差 1 个验证器无法完全控制。
Sky Mavis 在 4 月 27 日发布的一篇博文中对此次黑客攻击进行了分析,文章称:“员工在各种社交渠道上不断受到高级钓鱼网络攻击,其中一名员工遭到了攻击。这名员工已经不在 Sky Mavis 工作了。攻击者成功利用该访问权限渗透 Sky Mavis 的 IT 基础设施,并获得了对验证器节点的访问权限。”
验证器在区块链中可实现各种功能,包括创建交易区块和更新数据预言机。Ronin 使用所谓的“授权证明”(proof of authority)系统来签署交易,将权力集中在 9 个可信任的验证者手中。
区块链分析公司 Elliptic 在今年 4 月的一篇博客文章中解释说:“如果九个验证者中有五个批准,资金就可以转移出去。攻击者设法获得了 5 个验证器的私有加密密钥,这足以窃取加密资产。”
但在通过假招聘广告成功渗透到 Ronin 的系统后,黑客只控制了 9 个验证器中的 4 个——这意味着黑客还需要另一个才能控制 Ronin 系统。
在事后分析中,Sky Mavis 透露,黑客成功地使用了 Axie DAO(一个支持游戏生态系统的组织)来完成盗取。Sky Mavis 曾在 2021 年 11 月请求 Axie DAO 帮助处理交易负载问题。
“Axie DAO 允许 Sky Mavis 代表其签署各种交易。在 2021 年 12 月暂停,但允许访问列表没有被撤销,”Sky Mavis 在博客文章中说。“一旦攻击者进入 Sky Mavis 系统,他们就能从 Axie DAO 验证器获得签名。”
黑客入侵一个月后,Sky Mavis 将其验证器节点的数量增加到 11 个,并在博客文章中表示,其长期目标是超过 100 个。
当记者联系到 Sky Mavis 时,该公司拒绝就此次黑客攻击是如何进行的置评。LinkedIn 也多次拒绝置评。
今天早些时候,ESET 研究公司公布了一项调查,显示朝鲜黑客组织 Lazarus 用 LinkedIn 和 WhatsApp 冒充招募人员,目标人群是航空航天和国防承包商。但该报告并未将该技术与 Sky Mavis 黑客联系起来。
今年 4 月初,Sky Mavis 在由币安 领投的一轮融资中筹集了 1.5 亿美元。所得款项将与该公司备用资金一起用于补偿受该漏洞影响的用户。Axie Infinity 最近表示,将于 6 月 28 日开始向返还用户资金。在被黑客攻击时突然中断的 Ronin 的以太坊桥也于上周也重新启动了。
根据 The Block Research 的数据,今年 DeFi 黑客攻击事件频发,损失的资金总额超过 20 亿美元。1 月 1 日,这一数字仅为 7.6 亿美元。
搜索
复制
风雨将至,大浪淘沙。BISS一锅端据澎湃新闻11月24日晚报道,近日北京警方一举破获非法
阅读:242|2019-11-26
习近平总书记在中共中央政治局集体学习时强调,要把区块链作为核心技术自主创新的重要
阅读:40633|2020-10-15
“第四届中国国际进口博览会2021产业投资与国际金融合作论坛”将于2021年11月7日下午
阅读:33307|2021-09-29
近日,关于数字人民币的报道又引起了各方热议,其中或许也有一些误读和曲解。当然,这
阅读:46931|2020-08-21
从6月23日开始,比特币算力连续四天出现上涨,一些业内人士认为,算力市场可能已经从
阅读:50618|2021-06-28
一、前言区块链行业经常有交易所被盗的消息,这基本上已经成了家常便饭,而且可以预料
阅读:1165|2019-12-20
那些没有考虑技术优势的大公司面临着落后的风险,并开始认真研究其自身业务机制的解决
阅读:9483|2020-04-01
2020年8月26日,万向区块链董事长肖风博士受邀出席了2020挚物·AIOT产业领袖峰会,并
阅读:48115|2020-08-27
1 重构生产关系 降低信任成本1、“分布式商业是区块链技术带来的商业新边疆。在分布式
阅读:1071|2019-12-13
新活动的目标据报道,该活动的收益将用于在该国设立第二级高级医疗站,对该国的新冠病
阅读:1422|2020-03-16
