价值5.4亿美元的Offer:Ronin遭攻击源自工程师打开了一家虚假公司的录取信
世界上很少能有有工作申请比 Axie Infinity 的一位高级工程师更引人注目,他有兴趣加入一家后来被证明是虚构的公司,而这导致了加密行业最大的黑客攻击之一。
Ronin 是链游Axie Infinity 专属的以太坊侧链,在 3 月份的一次黑客事件中损失了 5.4 亿美元的加密货币。虽然美国政府后来将此事件与朝鲜黑客组织 Lazarus 联系起来,但尚未披露有关如何执行该漏洞的全部细节。
据The Block报道,这个事件与一个虚假的招聘广告相关。
两位不愿透露姓名的知情人士称,今年早些时候,一位声称代表这家虚假公司的人通过领英联系了 Axie Infinity 开发商 Sky Mavis 的员工,并鼓励他们申请工作。经过多轮面试后,Sky Mavis 的一名工程师获得了一份薪酬极其丰厚的工作。
随后,工程师收到了一封以PDF文档呈现的伪造的“Offer”录取信,工程师下载了该文档——允许黑客软件渗透到 Ronin 的系统。从那里,黑客能够攻击并接管 Ronin 网络上九个验证器中的四个,只差一个验证器无法完全控制。
在4 月 27 日发布的关于黑客攻击的事后博客文章中,Sky Mavis 说:“员工不断受到各种社交渠道的高级网络钓鱼攻击,一名员工遭到入侵。该员工不再在 Sky Mavis 工作。攻击者设法利用该访问权限来渗透 Sky Mavis IT 基础设施并获得对验证节点的访问权限。”
验证器在区块链中完成各种功能,包括创建交易块和更新数据预言机。Ronin 使用所谓的“权威证明”系统来签署交易,将权力集中在九个受信任的验证者手中。
区块链分析公司 Elliptic 在4 月份就该事件发表的一篇博客文章解释说:“如果九个验证者中有五个批准,则可以将资金转出。攻击者设法获得了属于五个验证者的私钥,这足以窃取加密资产。”
但在通过虚假招聘广告成功渗透到 Ronin 的系统后,黑客只控制了九个验证者中的四个——这意味着他们需要另一个验证者来控制。
Sky Mavis在其事后报告中透露,黑客设法使用 Axie DAO一个为支持游戏生态系统而设立的组织来完成攻击。Sky Mavis 曾在 2021 年 11 月请求 DAO 帮助处理繁重的交易负载。
“Axie DAO 允许 Sky Mavis 代表其签署各种交易。这已于 2021 年 12 月停止,但未撤销许可名单访问权限,”Sky Mavis 在博客文章中说。“一旦攻击者能够访问 Sky Mavis 系统,他们就能够从 Axie DAO 验证器中获取签名。”
黑客攻击一个月后,Sky Mavis 将其验证节点的数量增加到 11 个,并在博客文章中表示,其长期目标是拥有 100 多个。
Sky Mavis 拒绝评论黑客是如何进行的。领英也没有回应The Block的置评请求。
Sky Mavis在 4 月初由 Binance 牵头的一轮融资中筹集了 1.5 亿美元。融资将与公司自有资金一起用于补偿受攻击影响的用户。该公司最近表示,将于 6 月 28 日开始向用户返还资金。在黑客攻击时突然停止后,Ronin 的以太坊桥也于上周重新启动。
今天早些时候,ESET Research发布了一项调查,显示朝鲜的 Lazarus 滥用 LinkedIn 和 WhatsApp,瞄准航空航天和国防承包商。但该报告并未将该技术与 Sky Mavis 黑客行为联系起来。
此外,在今年4月,安全机构慢雾就发布安全提醒称, 朝鲜 APT 组织 Lazarus Group 使用一系列恶意应用程序针对数字货币行业进行定向 APT 攻击,具体方式包括:
1.该黑客组织充分采用社会工程学原理,在各大社交媒体中扮演角色(社交媒体包括 Twitter、Facebook、LinkedIn等)
2.与区块链行业开发人员聊天,接近,以便实施接下来的行动。
3.该黑客组织为了和开发人员“套近乎”,甚至建立自己的交易网站,通过这个看起来非常正常的网站,打出外包员工招募等幌子。
4.借机骗取开发人员的信任,然后发送相关恶意软件进行钓鱼攻击。(发送 DMG /EXE 木马)
针对该事件,慢雾给出以下防范建议:
1.建议行业从业人员随时关注国内外各大威胁平台安全情报,做好自我排查,提高警惕。
2.开发人员运行可执行程序之前,做好必要的安全检查。
3.做好零信任机制,可以有效降低这类威胁带来的风险。
4.建议 Mac/Windows 实机运行的用户保持安全软件实时防护开启,并随时更新最新病毒库。