Czy do ataku na Axie Infinity doszło w wyniku… oferty o pracę?

Rzadko kiedy podanie o pracę przynosi takie efekty jak w przypadku starszego inżyniera w Axie Infinity, którego zainteresowanie dołączeniem do fikcyjnej firmy doprowadziło do jednego z największych włamań w historii kryptowalut.

Atak hakerski, do którego doszło przez ogłoszenie o pracę

Ronin, powiązany z Ethereum sidechain, który stanowi podstawę gry Axie Infinity, w której można zarabiać grając, stracił w marcu 540 milionów dolarów w kryptowalutach z powodu exploita (to program mający na celu wykorzystanie istniejących błędów w oprogramowaniu). Chociaż służby USA później powiązały incydent z działalnością północnokoreańskiej grupy hakerskiej Lazarus, nie ujawniono pełnych szczegółów dotyczących sposobu przeprowadzenia ataku.

The Block twierdzi, że to fałszywe ogłoszenie o pracę mogło umożliwić hack.

Według dwóch anonimowych osób mających bezpośrednią wiedzę na temat sprawy, starszy inżynier w Axie Infinity został oszukany, gdy ubiegał się o pracę w firmie, która w rzeczywistości nie istniała.

Axie Infinity to wielki projekt. W szczytowym momencie pracownicy w Azji Południowo-Wschodniej byli w stanie zarabiać na życie tylko dzięki tej grze. W listopadzie ubiegłego roku firma mogła pochwalić się 2,7 milionami aktywnych użytkowników dziennie i 214 milionami USD tygodniowego wolumenu obrotu.

Na początku tego roku do pracowników firmy Sky Mavis, dewelopera Axie Infinity, zwróciły się osoby rzekomo reprezentujące nieistniejącą firmę i proponujące im pracę. Jedno ze źródeł dodało, że wszystko odbyło się za pośrednictwem LinkedIn. Pewien inżynier Sky Mavis otrzymał ofertę pracy z niezwykle hojnym wynagrodzeniem.

Fałszywa „oferta” została dostarczona w formie dokumentu PDF, który został pobrany przez inżyniera, umożliwiając tym samym oprogramowaniu szpiegującemu infiltrację systemów Ronin. Dzięki temu hakerzy byli w stanie zaatakować i przejąć cztery z dziewięciu węzłów-weryfikatorów w sieci Ronin.

Co działo się potem? Przestępcy potrzebowali większej liczby węzłów. Sky Mavis ujawniło, że hakerzy zdołali wykorzystać Axie DAO (Decentralized Autonomous Organisation) — grupę założoną w celu wspierania ekosystemu gier.

– Axie DAO zezwoliło Sky Mavis na podpisywanie różnych transakcji w jej imieniu. Zostało to niby zakończone w grudniu 2021 r., ale dostęp nie został cofnięty – przekazało Sky Mavis w poście na blogu. – Gdy atakujący uzyskał dostęp do systemów Sky Mavis, był w stanie uzyskać podpis walidatora Axie DAO – dodano.

Ochrona przed kolejnymi atakami

Miesiąc po włamaniu Sky Mavis zwiększyło liczbę swoich węzłów do walidacji do 11 i napisało w poście na blogu, że jego długoterminowym celem jest posiadanie ponad 100 węzłów.

Sky Mavis odmówiło też komentarza na temat tego, w jaki sposób dokonano włamania do sieci. LinkedIn też nie odpowiedział na wiele próśb o komentarz.

Więcej o obecnym stanie projektu przeczytacie tutaj.