Les ingénieurs d'Axie Infinity victimes de fausses offres d'emploi entraînant une attaque massive de hackers

Un ingénieur senior d'Axie Infinity a postulé pour une offre d'emploi apparemment alléchante, mais est devenu malgré lui le déclencheur de l'une des plus grandes attaques de hackers de l'industrie de la cryptographie. Cet incident a entraîné une perte de 540 millions de dollars en cryptomonnaies sur la sidechain Ethereum dédiée à Axie Infinity, Ronin.

Selon des informations, plus tôt cette année, une personne se présentant comme représentant d'une entreprise a contacté des employés de Sky Mavis, le développeur d'Axie Infinity, via un réseau social professionnel, les encourageant à postuler. Après plusieurs tours d'entretiens, un ingénieur de Sky Mavis a reçu une offre d'embauche généreuse. Cependant, cette offre d'embauche présentée au format PDF était en réalité un piège soigneusement conçu. Après que l'ingénieur a téléchargé ce document, un logiciel malveillant a réussi à infiltrer le système Ronin.

Le Hacker a ensuite attaqué et contrôlé quatre des neuf validateurs sur le réseau Ronin. Sky Mavis a déclaré par la suite que les employés de l'entreprise subissaient des attaques de phishing avancées par divers canaux sociaux, et qu'un employé avait malheureusement été touché. L'attaquant a utilisé les accès obtenus pour infiltrer l'infrastructure informatique de Sky Mavis, et a ainsi pris le contrôle des nœuds de validation.

Ronin utilise un système de "preuve d'autorité" pour la signature des transactions, centralisant le pouvoir entre les mains de neuf validateurs de confiance. La société d'analyse blockchain Elliptic explique que tant que cinq des neuf validateurs approuvent, les fonds peuvent être transférés. Un hacker a réussi à obtenir les clés privées de cinq validateurs, lui permettant de voler des actifs cryptographiques.

Après avoir réussi à infiltrer le système Ronin via de fausses annonces de recrutement, le Hacker a contrôlé quatre validateurs et a besoin d'un validateur supplémentaire pour compléter l'attaque. Sky Mavis a révélé que le Hacker a utilisé l'Axie DAO (une organisation soutenant l'écosystème de jeu) pour réaliser l'attaque. Sky Mavis avait demandé en novembre 2021 l'aide du DAO pour traiter une charge de transactions lourde, mais a cessé en décembre 2021 sans révoquer l'accès à la liste de permis. Une fois que l'attaquant accède au système de Sky Mavis, il peut obtenir des signatures des validateurs d'Axie DAO.

Un mois après l'attaque de hacker, Sky Mavis a augmenté le nombre de ses nœuds de validation à 11 et a déclaré que son objectif à long terme est d'avoir plus de 100 nœuds. La société a également levé 150 millions de dollars lors d'un financement dirigé par une plateforme d'échange pour indemniser les utilisateurs affectés par l'attaque. Sky Mavis a récemment annoncé qu'elle commencerait à rembourser les utilisateurs le 28 juin. Le pont Ethereum de Ronin a soudainement cessé après l'attaque de hacker et a été relancé la semaine dernière.

Les agences de sécurité ont déjà publié des avertissements en avril de cette année, indiquant qu'une organisation de hackers de niveau national utilise les réseaux sociaux pour mener des attaques ciblées contre l'industrie des crypto-monnaies. Ils se font passer pour différents rôles sur les plateformes sociales afin d'établir des contacts avec les développeurs de l'industrie de la blockchain, et même de créer de faux sites de transaction pour recruter des employés sous-traitants, dans le but de tromper la confiance des développeurs et ensuite d'envoyer des logiciels malveillants pour des attaques de phishing.

Pour prévenir des attaques similaires, les experts en sécurité recommandent :

1. Les professionnels de l'industrie devraient prêter une attention particulière aux informations de sécurité des plateformes de menace nationales et internationales, et effectuer un auto-examen.
2. Les développeurs doivent effectuer les vérifications de sécurité nécessaires avant d'exécuter le programme exécutable.
3. Établir un mécanisme de zéro confiance pour réduire efficacement les risques posés par de telles menaces.
4. Les utilisateurs de Mac/Windows doivent garder la protection en temps réel de leur logiciel de sécurité activée et mettre à jour leur base de virus régulièrement.