Ingenieros de Axie Infinity enfrentan un ataque masivo de hackers debido a reclutamiento falso

Un ingeniero senior de Axie Infinity solicitó una oferta de trabajo que parecía atractiva, pero se convirtió inesperadamente en la chispa de uno de los mayores ataques de hackers en la industria criptográfica. Este incidente resultó en la pérdida de 540 millones de dólares en criptomonedas en la cadena lateral de Ethereum exclusiva de Axie Infinity, Ronin.

Según se informa, a principios de este año, una persona que decía representar a una empresa contactó a empleados de Sky Mavis, el desarrollador de Axie Infinity, a través de una plataforma de redes profesionales, animándolos a postularse. Después de varias rondas de entrevistas, un ingeniero de Sky Mavis recibió una generosa oferta de empleo. Sin embargo, esta oferta presentada en formato PDF era en realidad una trampa cuidadosamente diseñada. Después de que el ingeniero descargó el documento, el software hacker logró infiltrarse en el sistema Ronin.

El Hacker luego atacó y controló cuatro de los nueve validadores en la red Ronin. Sky Mavis declaró después que los empleados de la empresa continúan siendo objeto de ataques de phishing avanzados a través de diversos canales sociales, y uno de los empleados desafortunadamente cayó en la trampa. Los atacantes utilizaron el acceso obtenido para infiltrar la infraestructura de TI de Sky Mavis, y así obtener el control de los nodos de validación.

Ronin utiliza un sistema de "prueba de autoridad" para la firma de transacciones, concentrando el poder en manos de nueve validadores de confianza. La empresa de análisis de blockchain Elliptic explicó que, siempre que cinco de los nueve validadores aprueben, se pueden transferir fondos. Un hacker logró obtener las claves privadas de cinco validadores, lo que le permitió robar activos criptográficos.

Después de infiltrarse con éxito en el sistema Ronin a través de anuncios de reclutamiento falsos, el Hacker ha controlado cuatro validadores y necesita uno más para completar el ataque. Sky Mavis reveló que el Hacker utilizó Axie DAO (una organización que apoya el ecosistema de juegos) para llevar a cabo el ataque. Sky Mavis había solicitado la ayuda de DAO en noviembre de 2021 para manejar la carga de transacciones pesada, pero no revocó el acceso a la lista de permisos después de que se detuvo en diciembre de 2021. Una vez que los atacantes ingresan al sistema de Sky Mavis, pueden obtener firmas de los validadores de Axie DAO.

Un mes después del ataque hacker, Sky Mavis aumentó el número de sus nodos de validación a 11 y declaró que su objetivo a largo plazo es tener más de 100 nodos. La compañía también recaudó 150 millones de dólares en una financiación liderada por una plataforma de intercambio, para compensar a los usuarios afectados por el ataque. Sky Mavis anunció recientemente que comenzará a reembolsar fondos a los usuarios a partir del 28 de junio. El puente de Ethereum de Ronin se detuvo repentinamente después del ataque hacker y se reinició la semana pasada.

Las agencias de seguridad ya habían emitido advertencias en abril de este año, indicando que un grupo de hackers de un país estaba utilizando las redes sociales para llevar a cabo ataques dirigidos contra la industria de las criptomonedas. Se hacen pasar por diferentes roles en las plataformas sociales, estableciendo contacto con desarrolladores de la industria blockchain, e incluso crean sitios web de trading falsos para reclutar empleados subcontratados, con el fin de engañar la confianza de los desarrolladores y así enviar malware para llevar a cabo ataques de phishing.

Para prevenir ataques similares, los expertos en seguridad recomiendan:

1. Los profesionales de la industria deben prestar atención a la inteligencia de seguridad de las plataformas de amenaza tanto nacionales como extranjeras y realizar una autoevaluación adecuada.
2. Los desarrolladores deben realizar las verificaciones de seguridad necesarias antes de ejecutar el programa ejecutable.
3. Establecer un mecanismo de cero confianza para reducir eficazmente los riesgos derivados de este tipo de amenazas.
4. Los usuarios de Mac/Windows deben mantener activada la protección en tiempo real del software de seguridad y actualizar regularmente la base de datos de virus.