Инженеры Axie Infinity столкнулись с массовой атакой Хакеров из-за ложного набора сотрудников

Старший инженер Axie Infinity подал заявку на заманчивую вакансию, но неожиданно стал катализатором одной из крупнейших хакерских атак в криптоиндустрии. Этот инцидент привел к потере 540 миллионов долларов в криптовалюте на специализированной стороне Ethereum Ronin.

Сообщается, что в начале этого года человек, который представился как представитель какой-то компании, связался с сотрудниками разработчика Axie Infinity Sky Mavis через профессиональную социальную сеть и побудил их подать заявки на работу. После нескольких раундов собеседований один из инженеров Sky Mavis получил щедрое предложение о работе. Однако это предложение, представленное в формате PDF, на самом деле было тщательно спланированной ловушкой. После того как инженер скачал документ, хакерское ПО успешно проникло в систему Ronin.

Хакер затем атаковал и контролировал четыре из девяти валидаторов в сети Ronin. Sky Mavis в своем заявлении после инцидента сообщила, что сотрудники компании продолжают подвергаться высококлассным фишинг-атакам в различных социальных каналах, и один из сотрудников, к сожалению, попался на удочку. Атакующий использовал полученный доступ для проникновения в ИТ-инфраструктуру Sky Mavis, в результате чего получил контроль над валидирующими узлами.

Ronin использует систему "доказательства полномочий" для подписания транзакций, сосредоточивая власть в руках девяти доверенных валидаторов. Компания по анализу блокчейнов Elliptic объяснила, что для перевода средств достаточно одобрения пятерых из девяти валидаторов. Нападающий успешно получил частные ключи пятерых валидаторов, что позволило ему украсть криптоактивы.

После успешного проникновения в систему Ronin через ложные вакансии, хакер уже контролирует четырех валидаторов и нуждается в одном валидаторе для завершения атаки. Sky Mavis раскрыла, что хакер использовал Axie DAO (организацию, поддерживающую игровую экосистему) для совершения атаки. Sky Mavis ранее в ноябре 2021 года просила DAO помочь с тяжелыми торговыми нагрузками, но после прекращения в декабре 2021 года не отозвала доступ к списку разрешенных. Как только злоумышленник попадает в систему Sky Mavis, он может получить подписи от валидаторов Axie DAO.

Через месяц после хакерской атаки Sky Mavis увеличила количество своих узлов верификации до 11 и заявила, что долгосрочной целью является наличие более 100 узлов. Компания также привлекла 150 миллионов долларов в финансировании, возглавляемом одной из торговых платформ, для компенсации пользователей, пострадавших от атаки. Sky Mavis недавно объявила, что начнет возвращать деньги пользователям 28 июня. Эфирный мост Ronin внезапно остановился после хакерской атаки и был перезапущен на прошлой неделе.

Безопасные агентства еще в апреле этого года выпустили предупреждение, в котором указали, что некая государственная хакерская организация использует социальные сети для целенаправленных атак на индустрию цифровых валют. Они создают различные роли на социальных платформах, устанавливают контакт с разработчиками в индустрии блокчейна и даже создают фальшивые торговые сайты для привлечения внешних сотрудников, чтобы обмануть доверие разработчиков и затем отправить вредоносное ПО для фишинговых атак.

Для предотвращения подобных атак эксперты по безопасности рекомендуют:

1. Работники отрасли должны внимательно следить за безопасной информацией о угрозах как на внутреннем, так и на международном уровне и проводить самопроверку.
2. Разработчики должны провести необходимые проверки безопасности перед запуском исполняемой программы.
3. Создание механизма нулевого доверия, что эффективно снижает риски, связанные с такими угрозами.
4. Пользователи Mac/Windows должны поддерживать включенную функцию реального времени защиты антивирусного программного обеспечения и своевременно обновлять вирусные базы.