Axie Infinity mühendisleri sahte iş ilanları nedeniyle büyük ölçekli Hacker saldırısına uğradı

Axie Infinity'de kıdemli bir mühendis, görünüşte cazip bir iş fırsatına başvurdu, ancak beklenmedik bir şekilde kripto sektöründeki en büyük ölçekli hacker saldırılarından birinin kıvılcımı haline geldi. Bu olay, Axie Infinity'e özel Ethereum yan zinciri Ronin'in 5.4 milyar dolar değerinde kripto para kaybetmesine neden oldu.

İddiaya göre, bu yılın başlarında, kendisini bir şirketi temsil eden biri olarak tanıtan bir kişi, Axie Infinity geliştiricisi Sky Mavis'in çalışanlarıyla profesyonel bir sosyal medya platformu aracılığıyla iletişime geçti ve onları işe başvurmaya teşvik etti. Birkaç mülakatın ardından, bir Sky Mavis mühendisine cömert bir iş teklifi yapıldı. Ancak, PDF formatında sunulan bu iş teklifi aslında dikkatlice tasarlanmış bir tuzaktı. Mühendis belgeleri indirdiğinde, Hacker yazılımı Ronin sistemine başarıyla sızdı.

Hacker ardından Ronin ağı üzerindeki dokuz doğrulayıcıdan dördünü saldırıya uğrattı ve kontrol altına aldı. Sky Mavis, sonrasında yaptığı açıklamada, şirket çalışanlarının çeşitli sosyal kanallardan ileri düzey kimlik avı saldırılarına maruz kaldığını ve bu saldırılardan birinin maalesef bir çalışanını etkilediğini belirtti. Saldırgan, elde edilen erişim yetkisini kullanarak Sky Mavis'in BT altyapısına sızdı ve böylece doğrulama düğümlerinin kontrolünü ele geçirdi.

Ronin, işlemleri imzalamak için "otorite kanıtı" sistemini kullanarak gücü dokuz güvenilir doğrulayıcıda toplar. Blockchain analiz şirketi Elliptic, dokuz doğrulayıcıdan beşinin onaylaması durumunda fonların transfer edilebileceğini açıkladı. Saldırganlar, beş doğrulayıcının özel anahtarlarını başarıyla ele geçirerek kripto varlıkları çalmayı başardılar.

Ronin sistemine sahte iş ilanlarıyla başarılı bir şekilde sızdıktan sonra, Hacker dört doğrulayıcıyı kontrol altına aldı ve saldırıyı tamamlamak için bir doğrulayıcıya daha ihtiyaç duyuyor. Sky Mavis, Hacker'ın saldırıyı gerçekleştirmek için Axie DAO'dan (oyun ekosistemini destekleyen bir organizasyon) faydalandığını açıkladı. Sky Mavis, Kasım 2021'de DAO'dan yoğun işlem yükünü yönetmek için yardım istemişti, ancak Aralık 2021'de durduktan sonra izinli listeye erişim iznini geri çekmemişti. Saldırgan Sky Mavis sistemine girdikten sonra Axie DAO doğrulayıcılarından imza alabiliyor.

Bir ay sonra gerçekleşen siber saldırının ardından, Sky Mavis doğrulayıcı düğüm sayısını 11'e çıkardı ve uzun vadeli hedeflerinin 100'den fazla düğüm sahibi olmak olduğunu belirtti. Şirket ayrıca bir ticaret platformunda liderlik ettiği bir finansman turunda 150 milyon dolar topladı ve saldırıdan etkilenen kullanıcılara tazminat sağlamak için kullanılacak. Sky Mavis, kullanıcıların fonlarını 28 Haziran'dan itibaren geri ödemeye başlayacağını duyurdu. Ronin'in Ethereum köprüsü siber saldırıdan sonra aniden durdu ve geçen hafta yeniden başlatıldı.

Güvenlik kurumları bu yılın Nisan ayında bir uyarı yayınladı ve belirli bir ulusal hacker grubunun dijital para endüstrisine yönelik hedefli saldırılar gerçekleştirmek için sosyal medyayı kullandığını belirtti. Sosyal platformlarda farklı roller üstlenerek, blockchain sektöründeki geliştiricilerle bağlantı kuruyorlar ve hatta sahte ticaret siteleri oluşturarak dış kaynak çalışanları işe alıyorlar. Böylece geliştiricilerin güvenini kazanarak, kötü amaçlı yazılımlar gönderip oltalama saldırıları gerçekleştiriyorlar.

Benzer saldırıları önlemek için güvenlik uzmanları şunları öneriyor:

1. Sektör çalışanları, yurtiçi ve yurtdışındaki tehdit platformlarının güvenlik istihbaratını yakından takip etmeli ve kendi kontrollerini iyi yapmalıdır.
2. Geliştiricilerin yürütülebilir programı çalıştırmadan önce gerekli güvenlik kontrollerini yapmaları gerekir.
3. Sıfır güven mekanizması kurun, bu tür tehditlerin getirdiği riskleri etkili bir şekilde azaltın.
4. Mac/Windows kullanıcıları güvenlik yazılımlarının gerçek zamanlı korumasını açık tutmalı ve virüs veritabanını zamanında güncellemelidir.