华宏科技股份有限公司

一份假 Offer 盗走 Axie infinity 5.4 亿美元 | BTC

发布日期:2022-10-16 22:18    点击次数:72
原文起原:Ryan Weeks,The Block编译:Katie,星球日报

今年早些岁月,黑客骗取 Axie Infinity 的一名低档工程师请求了一家编造的公司的事变,终究导致 Axie Infinity 遭受 5.4 亿美元加密钱银的损失。下列是 The Block 报道的黑客入侵 Axie Infinity 的细节。

很少能有求职阅历比 Axie Infinity 低档工程师的遭逢更慰藉了。他对插手一家编造公司的兴致终究促进了加密行业最大的黑客袭击之一。

去年 11 月,Axie Infinity 游戏内 NFT 的日生动用户一度达到 270 万,周买卖额达到 2.14 亿美元(这两个数字其后都大幅下落)。

而今年 3 月,P2 E 链游龙头 Axie Infinity 的以太坊侧链 Ronin 损失了价钱 5.4 亿美元的加密钱银。诚然美国政府其后将这一事宜与朝鲜黑客构造 Lazarus 联络在一起,但无关此次袭击是怎么样举行的整个细节还没有透露。着实毁掉 Ronin 的仅仅是一个子虚的招聘广告。两名相识此事的人士默示,Axie Infinity 的一名低档工程师上圈套请求了一家理论上着实不存在的公司的职位。由于事宜的敏感性,这两名流士哀告匿名。

据知情人士吐露,今年早些岁月,自称代表这家假冒公司的人经由过程 LinkedIn 和 WhatsApp 勾搭了 Axie Infinity 开发商 Sky Mavis 的员工,行使新事变机会领导他。有音讯称,在颠末多轮笔试后,Sky Mavis 的一名工程师获患有一份薪酬极为丰盛的事变。

这个子虚 Offer 因此 PDF 文件的模式发送的,工程师下载了这个文件——这让木马得以渗透渗出到 Ronin 的体系中。从其时起,黑客可以或许袭击并接收 Ronin 网络上 9 个验证器中的 4 个,只差 1 个验证器没法齐全掌握。

Sky Mavis 在 4 月 27 日宣布的一篇博文中对此次黑客袭击举行了阐发,文章称:“员工在种种交际渠道上接续受到低档钓渔网络袭击,个中一名员工受到了袭击。这名员工已经不在 Sky Mavis 事变了。袭击者告成行使该拜访权限渗透渗出 Sky Mavis 的 IT 底子设置配备摆设,并获患有对验证器节点的拜访权限。”

验证器在区块链中可实现种种功用,蕴含创立买卖区块和更新数据预言机。Ronin 运用所谓的“授权证明”(proof of authority)体系来签订买卖,将权益会合在 9 个可信任的验证者手中。

区块链阐发公司 Elliptic 在今年 4 月的一篇博客文章中说明说:“假定九个验证者中有五个同意,资金就能转移进来。袭击者主见获患有 5 个验证器的公有加密密钥,这足以偷取加密资产。”

但在经由过程假招聘广告告成渗透渗出到 Ronin 的体系后,黑客只掌握了 9 个验证器中的 4 个——这意味着黑客还需求另外一个材干掌握 Ronin 体系。

在其时阐发中,Sky Mavis 吐露,黑客告成地运用了 Axie DAO(一个支持游戏生态体系的构造)来实现偷取。Sky Mavis 曾在 2021 年 11 月哀告 Axie DAO 协助处理惩罚买卖负载成就。

“Axie DAO 准许 Sky Mavis 代表其签订种种买卖。在 2021 年 12 月平息,但准许拜访列表没有被打消,”Sky Mavis 在博客文章中说。“一旦袭击者进入 Sky Mavis 体系,他们就能从 Axie DAO 验证器获取签名。”

黑客入侵一个月后,Sky Mavis 将其验证器节点的数量添加到 11 个,并在博客文章中默示,其长岁月目的是逾越 100 个。

当记者联络到 Sky Mavis 时,该公司推卸就此次黑客袭击是怎么样举行的置评。LinkedIn 也屡次推卸置评。

来日诰日早些岁月,ESET 研究公司颁布了一项考察,体现朝鲜黑客构造 Lazarus 用 LinkedIn 和 WhatsApp 假充招募人员,目的人群是航空航天和国防承包商。但该报告并没有将该技能与 Sky Mavis 黑客联络起来。

今年 4 月初,Sky Mavis 在由币安 领投的一轮融资中筹集了 1.5 亿美元。所得金钱将与该公司备用资金一升引于填补受该马脚影响的用户。Axie Infinity 比来默示,将于 6 月 28 日起头向返还用户资金。在被黑客袭击时倏忽中缀的 Ronin 的以太坊桥也于上周也从头启动了。

痛处 The Block Research 的数据,今年 DeFi 黑客袭击事宜频发,损失的资金总额逾越 20 亿美元。1 月 1 日,这一数字仅为 7.6 亿美元。