مهندسو Axie Infinity يتعرضون للاحتيال في التوظيف مما أدى إلى سرقة 5.4 مليار دولار من الأصول الرقمية
أدى مهندس كبير في Axie Infinity، أثناء تقدمه لوظيفة في شركة ثبت لاحقًا أنها وهمية، إلى حدوث واحدة من أكبر هجمات القرصنة في صناعة التشفير.
تعرضت شبكة رونين، وهي سلسلة جانبية قائمة على الإيثيريوم مخصصة لآكسي إنفينيتي، للاختراق في مارس من هذا العام، مما أسفر عن خسائر تصل إلى 540 مليون دولار من الأصول الرقمية. على الرغم من أن الحكومة الأمريكية ربطت لاحقًا هذا الحادث بمجموعة القراصنة الكورية الشمالية Lazarus، إلا أن تفاصيل الهجوم المحددة لم تُكشف بالكامل.
وفقًا للتقارير، فإن هذه الحادثة ناتجة عن إعلان توظيف زائف. كشف عدد من المصادر المطلعة المجهولة أن شخصًا يدعي أنه يمثل شركة معينة تواصل مع موظفي شركة Sky Mavis، مطور لعبة Axie Infinity، عبر منصة التواصل المهني، مشجعًا إياهم على التقدم للوظيفة. بعد عدة جولات من المقابلات، حصل مهندس من شركة Sky Mavis على عرض عمل براتب مرتفع.
بعد ذلك، تلقى المهندس إشعار قبول مزور بصيغة PDF. بعد تنزيل هذا الملف، تمكن برنامج القرصنة من التسلل إلى نظام Ronin. ثم هاجم القراصنة وأحكموا السيطرة على 4 من أصل 9 مدققين على شبكة Ronin، حيث كانوا على وشك السيطرة الكاملة على الشبكة بأكملها.
أفادت Sky Mavis في التقرير اللاحق الذي تم نشره في 27 أبريل: "يعاني موظفونا باستمرار من هجمات التصيد المتقدمة عبر قنوات التواصل الاجتماعي، حيث تم اختراق أحد الموظفين بشكل مؤسف. استغل المهاجمون صلاحيات الوصول التي حصلوا عليها للتغلغل في بنية الشركة التحتية لتكنولوجيا المعلومات، وبالتالي الحصول على السيطرة على عقد التحقق. لقد ترك هذا الموظف العمل بالفعل."
تتحمل العقد في سلسلة الكتل العديد من الوظائف المهمة، بما في ذلك إنشاء كتل المعاملات وتحديث بياناتOracle. تعتمد Ronin على آلية "إثبات السلطة" لتوقيع المعاملات، مما يركز السلطة في أيدي 9 من المدققين الموثوقين.
شرحت شركة Elliptic لتحليل blockchain في مقال مدونة في أبريل: "طالما وافق 5 من أصل 9 مختبرين، يمكن تحويل الأموال. لقد تمكن المهاجمون من الحصول على مفاتيح خاصة لـ 5 مختبرين، مما يكفي لسرقة الأصول الرقمية."
ومع ذلك، بعد أن تمكن القراصنة من اختراق نظام Ronin من خلال إعلانات توظيف مزيفة، سيطروا فقط على 4 من أصل 9 من المدققين، ولا يزال يتعين عليهم السيطرة على مدقق واحد لاستكمال الهجوم.
كشفت Sky Mavis في التقرير اللاحق أن القراصنة استغلوا في النهاية Axie DAO (وهو منظمة تدعم نظام الألعاب البيئي) لإجراء الهجوم. طلبت Sky Mavis في نوفمبر 2021 من DAO المساعدة في التعامل مع عبء المعاملات الثقيل.
"Axie DAO تفوض Sky Mavis لتمثيلها في توقيع مجموعة متنوعة من المعاملات. هذا التفويض توقف في ديسمبر 2021، لكن لم يتم سحب الوصول إلى قائمة الأذونات،" قالت Sky Mavis في التقرير. "بمجرد أن يحصل المهاجمون على حق الوصول إلى نظام Sky Mavis، يمكنهم الحصول على توقيع من مُصادق Axie DAO."
بعد شهر من حدوث الهجوم الإلكتروني، زادت Sky Mavis عدد العقد الموثقة إلى 11، وأعلنت أن الهدف على المدى الطويل هو امتلاك أكثر من 100 عقدة.
رفضت Sky Mavis التعليق على التفاصيل الدقيقة لهجوم القرصنة. كما لم تستجب المنصات الاجتماعية المهنية ذات الصلة لطلبات التعليق ذات الصلة.
حصلت Sky Mavis في أوائل أبريل على تمويل بقيمة 150 مليون دولار بقيادة منصة تداول معينة. ستستخدم هذه الأموال مع أموال الشركة الخاصة لتعويض المستخدمين المتأثرين بالهجوم. وقد أفادت الشركة مؤخرًا أنها ستبدأ في إعادة الأموال للمستخدمين في 28 يونيو. كما تم إعادة تشغيل جسر Ronin الإيثيريوم الذي تم تعليقه بعد الهجوم الأسبوع الماضي.
مؤخراً، أصدرت ESET Research تقريراً استقصائياً يظهر أن منظمة Lazarus الكورية الشمالية تستغل منصات التواصل الاجتماعي المهنية وبرامج المراسلة الفورية لاستهداف مقاولي الفضاء والدفاع. ومع ذلك، لم يرتبط هذا التقرير بشكل مباشر بالحادثة المتعلقة بالهاكرز في Sky Mavis.
بالإضافة إلى ذلك، في أبريل من هذا العام، أصدرت وكالة الأمن Slow Fog تحذيرًا أمنيًا، مشيرة إلى أن مجموعة Lazarus التابعة لكوريا الشمالية تستخدم مجموعة من التطبيقات الضارة لاستهداف صناعة الأصول الرقمية بهجمات APT موجهة. تشمل الأساليب المحددة ما يلي:
تلعب أدوارًا مختلفة في وسائل التواصل الاجتماعي الكبرى، واستغلال مبادئ الهندسة الاجتماعية بشكل كامل.
إقامة اتصال مع مطوري صناعة blockchain للتحضير للإجراءات اللاحقة.
إنشاء مواقع تداول متخفية كغطاء لتوظيف موظفين خارجيين.
بعد الحصول على ثقة المطورين، أرسل البرمجيات الضارة لشن هجمات التصيد.
بالنسبة لهذه التهديدات، قدمت شركة Slow Fog النصائح الوقائية التالية:
يجب على العاملين في الصناعة مراقبة المعلومات الأمنية من منصات التهديد الكبرى عن كثب، وإجراء الفحوصات الذاتية، وزيادة اليقظة.
يجب على المطورين إجراء الفحوصات الأمنية اللازمة قبل تشغيل البرنامج القابل للتنفيذ.
إنشاء آلية ثقة صفرية يمكن أن تقلل بشكل فعال من المخاطر الناجمة عن هذا النوع من التهديدات.
يُنصح مستخدمي Mac/Windows بالحفاظ على تشغيل حماية البرنامج الأمني في الوقت الفعلي، وتحديث قاعدة بيانات الفيروسات بشكل دوري.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 9
أعجبني
9
7
إعادة النشر
مشاركة
تعليق
0/400
StealthMoon
· منذ 6 س
وضعت كوريا الشمالية هذه المهندسين في مأزق
شاهد النسخة الأصليةرد0
GasFeeLover
· منذ 6 س
لقد أصبحت آلة سحب أموال كورية شمالية حقًا
شاهد النسخة الأصليةرد0
MEVSandwichMaker
· منذ 6 س
بعيد عن الواقع! من كان يتوقع أن يكون الاحتيال بهذه السهولة
تعرضت Axie Infinity للاحتيال من خلال توظيف زائف، مما أدى إلى خسارة 5.4 مليار دولار من الأصول الرقمية.
مهندسو Axie Infinity يتعرضون للاحتيال في التوظيف مما أدى إلى سرقة 5.4 مليار دولار من الأصول الرقمية
أدى مهندس كبير في Axie Infinity، أثناء تقدمه لوظيفة في شركة ثبت لاحقًا أنها وهمية، إلى حدوث واحدة من أكبر هجمات القرصنة في صناعة التشفير.
تعرضت شبكة رونين، وهي سلسلة جانبية قائمة على الإيثيريوم مخصصة لآكسي إنفينيتي، للاختراق في مارس من هذا العام، مما أسفر عن خسائر تصل إلى 540 مليون دولار من الأصول الرقمية. على الرغم من أن الحكومة الأمريكية ربطت لاحقًا هذا الحادث بمجموعة القراصنة الكورية الشمالية Lazarus، إلا أن تفاصيل الهجوم المحددة لم تُكشف بالكامل.
وفقًا للتقارير، فإن هذه الحادثة ناتجة عن إعلان توظيف زائف. كشف عدد من المصادر المطلعة المجهولة أن شخصًا يدعي أنه يمثل شركة معينة تواصل مع موظفي شركة Sky Mavis، مطور لعبة Axie Infinity، عبر منصة التواصل المهني، مشجعًا إياهم على التقدم للوظيفة. بعد عدة جولات من المقابلات، حصل مهندس من شركة Sky Mavis على عرض عمل براتب مرتفع.
بعد ذلك، تلقى المهندس إشعار قبول مزور بصيغة PDF. بعد تنزيل هذا الملف، تمكن برنامج القرصنة من التسلل إلى نظام Ronin. ثم هاجم القراصنة وأحكموا السيطرة على 4 من أصل 9 مدققين على شبكة Ronin، حيث كانوا على وشك السيطرة الكاملة على الشبكة بأكملها.
أفادت Sky Mavis في التقرير اللاحق الذي تم نشره في 27 أبريل: "يعاني موظفونا باستمرار من هجمات التصيد المتقدمة عبر قنوات التواصل الاجتماعي، حيث تم اختراق أحد الموظفين بشكل مؤسف. استغل المهاجمون صلاحيات الوصول التي حصلوا عليها للتغلغل في بنية الشركة التحتية لتكنولوجيا المعلومات، وبالتالي الحصول على السيطرة على عقد التحقق. لقد ترك هذا الموظف العمل بالفعل."
تتحمل العقد في سلسلة الكتل العديد من الوظائف المهمة، بما في ذلك إنشاء كتل المعاملات وتحديث بياناتOracle. تعتمد Ronin على آلية "إثبات السلطة" لتوقيع المعاملات، مما يركز السلطة في أيدي 9 من المدققين الموثوقين.
شرحت شركة Elliptic لتحليل blockchain في مقال مدونة في أبريل: "طالما وافق 5 من أصل 9 مختبرين، يمكن تحويل الأموال. لقد تمكن المهاجمون من الحصول على مفاتيح خاصة لـ 5 مختبرين، مما يكفي لسرقة الأصول الرقمية."
ومع ذلك، بعد أن تمكن القراصنة من اختراق نظام Ronin من خلال إعلانات توظيف مزيفة، سيطروا فقط على 4 من أصل 9 من المدققين، ولا يزال يتعين عليهم السيطرة على مدقق واحد لاستكمال الهجوم.
كشفت Sky Mavis في التقرير اللاحق أن القراصنة استغلوا في النهاية Axie DAO (وهو منظمة تدعم نظام الألعاب البيئي) لإجراء الهجوم. طلبت Sky Mavis في نوفمبر 2021 من DAO المساعدة في التعامل مع عبء المعاملات الثقيل.
"Axie DAO تفوض Sky Mavis لتمثيلها في توقيع مجموعة متنوعة من المعاملات. هذا التفويض توقف في ديسمبر 2021، لكن لم يتم سحب الوصول إلى قائمة الأذونات،" قالت Sky Mavis في التقرير. "بمجرد أن يحصل المهاجمون على حق الوصول إلى نظام Sky Mavis، يمكنهم الحصول على توقيع من مُصادق Axie DAO."
بعد شهر من حدوث الهجوم الإلكتروني، زادت Sky Mavis عدد العقد الموثقة إلى 11، وأعلنت أن الهدف على المدى الطويل هو امتلاك أكثر من 100 عقدة.
رفضت Sky Mavis التعليق على التفاصيل الدقيقة لهجوم القرصنة. كما لم تستجب المنصات الاجتماعية المهنية ذات الصلة لطلبات التعليق ذات الصلة.
حصلت Sky Mavis في أوائل أبريل على تمويل بقيمة 150 مليون دولار بقيادة منصة تداول معينة. ستستخدم هذه الأموال مع أموال الشركة الخاصة لتعويض المستخدمين المتأثرين بالهجوم. وقد أفادت الشركة مؤخرًا أنها ستبدأ في إعادة الأموال للمستخدمين في 28 يونيو. كما تم إعادة تشغيل جسر Ronin الإيثيريوم الذي تم تعليقه بعد الهجوم الأسبوع الماضي.
مؤخراً، أصدرت ESET Research تقريراً استقصائياً يظهر أن منظمة Lazarus الكورية الشمالية تستغل منصات التواصل الاجتماعي المهنية وبرامج المراسلة الفورية لاستهداف مقاولي الفضاء والدفاع. ومع ذلك، لم يرتبط هذا التقرير بشكل مباشر بالحادثة المتعلقة بالهاكرز في Sky Mavis.
بالإضافة إلى ذلك، في أبريل من هذا العام، أصدرت وكالة الأمن Slow Fog تحذيرًا أمنيًا، مشيرة إلى أن مجموعة Lazarus التابعة لكوريا الشمالية تستخدم مجموعة من التطبيقات الضارة لاستهداف صناعة الأصول الرقمية بهجمات APT موجهة. تشمل الأساليب المحددة ما يلي:
بالنسبة لهذه التهديدات، قدمت شركة Slow Fog النصائح الوقائية التالية: