文章摘要
•黑客骗倒了Axie Infinity的一名高级工程师,引诱他向一家子虚乌有的公司申请工作。
•这出骗局导致今年早些时候损失了5.4亿美元(36.2亿人民币)的加密货币。
很少有哪份工作申请带来的结果比Axie Infinity的一位高级工程师更出人意料的了,他有意加入一家后来被证明是子虚乌有的公司,最终导致了加密货币行业最严重的黑客攻击事件之一。
Ronin是与以太坊相关的侧链,在底层支持采用边玩边赚模式的游戏Axie Infinity,它在3月份的一次漏洞事件中损失了价值5.4亿美元的加密货币。
虽然美国政府后来认为这起事件与朝鲜黑客组织Lazarus有关联,但有关如何利用漏洞的全部细节并未披露。
The Block网站现在披露:一份虚假的招聘广告搞垮了Ronin。
据两名直接了解此事的人士称(由于事件很敏感,他们不愿透露姓名),Axie Infinity的一名高级工程师受骗上当,向一家实际上并不存在的公司申请工作。
Axie Infinity是爆款游戏。在鼎盛时期,甚至能够靠这款边玩边赚的游戏谋生。
2021年11月,它声称拥有270万日活跃用户,游戏内NFT的每周交易额高达2.14亿美元,不过这两个数字此后都大幅下降。
据知情人士透露,今年早些时候,声称代表那家虚假公司的人联系了Axie Infinity开发商Sky Mavis的工作人员,鼓励他们申请工作。一位知情人士补充道,对方是通过职业社交网站 LinkedIn找上门来的。
一位知情人士称,经过多轮面试后,Sky Mavis的一名工程师获得了一份薪酬极其丰厚的工作。
这份假冒的“工作机会”以PDF文档的形式来提供,那名工程师下载了该文档,间谍软件因而得以渗入到Ronin的系统。
之后,黑客能够攻击并接管Ronin 网络上的九个验证节点(validator)中的四个,只差一个验证节点没有被完全控制。
Sky Mavis在4月27日发布的关于这起黑客攻击的事后分析博文中称:“员工在诸社交渠道上不断受到高级的鱼叉式网络钓鱼攻击,一名员工不幸中招。这名员工现在不再在Sky Mavis工作。攻击者设法利用其访问权限,渗入到Sky Mavis的IT基础架构,并获得了验证节点的访问权限。”
验证节点在区块链中完成各种功能,包括创建交易块和更新区块链可信数据源(oracle)。Ronin使用所谓的“权威证明”系统来签名交易,将权力集中在九个受信任的验证节点手中。
区块链分析公司Elliptic在4月份就该事件发表的一篇博文中解释:“如果九个验证节点中有五个予以批准,资金就可以转出。攻击者设法获得了属于五个验证节点的私有密钥,这足以窃取加密货币资产。”
但黑客在通过虚假招聘广告成功渗入到Ronin的系统后,只控制了九个验证节点中的四个,这就意味着他们需要控制另一个验证节点才能全面掌控。
Sky Mavis在事后分析报告中透露,这伙黑客设法使用Axie DAO(去中心化自治组织)来完成抢劫,这是一家为支持游戏生态系统而设立的组织。Sky Mavis曾在2021年11月请求该DAO帮助处理繁重的交易负载。
Sky Mavis在博文中声称:“Axie DAO将Sky Mavis列入了许可名单,允许它代表自己签名各种交易。这种许可在2021年12月停止了,但许可名单访问权并未撤销。一旦攻击者访问了Sky Mavis系统,就能够从Axie DAO验证节点获取签名。”
黑客攻击一个月后,Sky Mavis将其验证节点的数量增加到了11个,并在博文中表示,长期目标是拥有100多个验证节点。
今天早些时候,ESET Research发布的调查显示,朝鲜的Lazarus曾滥用LinkedIn和WhatsApp,冒充招聘人员找航空航天和国防承包商下手。但该报告并未将这种手法与Sky Mavis黑客事件联系起来。
Sky Mavis在4月初由币安的一轮融资中筹到了1.5亿美元。这笔钱将与该公司的自有资金一起用于补偿受漏洞事件影响的用户。
该公司最近表示,已在6月28日开始向用户退还资金。Ronin的以太坊跨链桥梁在黑客攻击事件发生后突然关停,上周也已重新开启。
据The Block Research的数据显示,今年DeFi黑客攻击的速度迅速加快,损失的资金总额已超过20亿美元。1月1日,这个数字仅为7.6亿美元。