Інженер Axie Infinity став жертвою фальшивого найму, що призвело до масованої атаки Хакерів

Старший інженер Axie Infinity подав заявку на привабливу вакансію, проте несподівано став каталізатором одного з найбільших хакерських атак у криптоіндустрії. Ця подія призвела до втрати 540 мільйонів доларів США у криптовалюті на Ethereum-лічильнику Ronin, призначеному для Axie Infinity.

За інформацією, на початку цього року особа, яка назвалася представником певної компанії, зв'язалася з працівниками розробника Axie Infinity Sky Mavis через професійну соціальну мережу, закликаючи їх подавати заявки на роботу. Після кількох раундів співбесід один з інженерів Sky Mavis отримав вигідну пропозицію про роботу. Однак ця пропозиція, представлена у форматі PDF, насправді була ретельно спланованою пасткою. Після того, як інженер завантажив цей документ, хакерське програмне забезпечення успішно проникло в систему Ronin.

Хакер потім атакував і контролював чотири з дев'яти валідаторів у мережі Ronin. Sky Mavis у заяві після інциденту зазначила, що співробітники компанії постійно зазнають різноманітних висококласних фішинг-атак через соціальні канали, внаслідок чого один із співробітників, на жаль, став жертвою. Зловмисник, скориставшись отриманим доступом, проникнув у IT-інфраструктуру Sky Mavis, в результаті чого отримав контроль над валідатором.

Ronin використовує систему "Авторитетного доказу" для підписання транзакцій, зосереджуючи владу в руках дев'яти довірених валідаторів. Компанія з аналізу блокчейну Elliptic пояснила, що для переведення коштів достатньо, щоб п'ять із дев'яти валідаторів погодилися. Зловмисник успішно отримав приватні ключі п'яти валідаторів, що дозволило йому вкрасти криптоактиви.

Після успішного проникнення в систему Ronin через фальшиві оголошення про роботу, хакер контролює чотирьох валідаторів і потребує ще одного валідатора для завершення атаки. Sky Mavis розкрила, що хакер використав Axie DAO (організацію, що підтримує ігрову екосистему) для здійснення атаки. Sky Mavis раніше у листопаді 2021 року просила DAO допомогти впоратися з великим навантаженням на трансакції, але після зупинки в грудні 2021 року не відкликала доступ до списку дозволів. Як тільки зловмисник отримує доступ до системи Sky Mavis, він може отримати підписи від валідаторів Axie DAO.

Через місяць після хакерської атаки Sky Mavis збільшила кількість своїх верифікаційних вузлів до 11 і заявила, що довгостроковою метою є мати понад 100 вузлів. Компанія також залучила 150 мільйонів доларів США в раунді фінансування, очолюваному певною торговою платформою, для компенсації користувачів, постраждалих від атаки. Sky Mavis нещодавно оголосила, що почне повертати кошти користувачам з 28 червня. Ефірний міст Ronin раптово зупинився після хакерської атаки і був повторно запущений минулого тижня.

Безпекові органи ще в квітні цього року випустили попередження, що певна національна хакерська організація використовує соціальні мережі для цілеспрямованих атак на індустрію цифрових валют. Вони через соціальні платформи грають різні ролі, встановлюючи зв'язки з розробниками в блокчейн-індустрії, а також створюють фальшиві торгові сайти для вербування підрядників, щоб обманом здобути довіру розробників та надсилати шкідливе програмне забезпечення для фішингових атак.

Щоб запобігти подібним атакам, експерти з безпеки рекомендують:

1. Професіонали галузі повинні уважно стежити за безпековою інформацією загрозових платформ як в Україні, так і за кордоном, та проводити самоінспекцію.
2. Розробники повинні провести необхідні перевірки безпеки перед виконанням виконуваної програми.
3. Створення механізму нульової довіри для ефективного зниження ризиків, пов'язаних з такими загрозами.
4. Користувачі Mac/Windows повинні підтримувати в режимі реального часу захист безпеки та своєчасно оновлювати антивірусні бази.