Ingeniero de Axie Infinity sufre de una contratación falsa que lleva al robo de 540 millones de dólares en Activos Cripto
Un ingeniero senior de Axie Infinity provocó accidentalmente uno de los mayores ataques de hackers en la industria de Activos Cripto al solicitar una empresa que posteriormente se confirmó como ficticia.
La cadena lateral de Ethereum exclusiva de Axie Infinity, Ronin, sufrió una violación de seguridad en marzo de este año, con pérdidas de hasta 540 millones de dólares en Activos Cripto. A pesar de que el gobierno de Estados Unidos posteriormente vinculó este incidente con el grupo de hackers norcoreanos Lazarus, los detalles específicos del ataque aún no se han hecho públicos.
Se informa que este incidente se originó a partir de un anuncio de trabajo falso. Varios informantes anónimos revelaron que, a principios de este año, una persona que se decía representante de una empresa contactó a empleados de Sky Mavis, el desarrollador de Axie Infinity, a través de una plataforma de redes profesionales, alentándolos a postularse. Después de varias rondas de entrevistas, un ingeniero de Sky Mavis recibió una oferta de salario elevado.
Luego, el ingeniero recibió un aviso de admisión en formato PDF falsificado. Al descargar este archivo, el software de hackeo logró infiltrarse en el sistema Ronin. Los hackers inmediatamente tomaron el control de 4 de los 9 validadores en la red Ronin, a solo un paso de poder controlar toda la red.
Sky Mavis declaró en el informe posterior publicado el 27 de abril: "Nuestros empleados continúan siendo víctimas de ataques avanzados de phishing en varios canales sociales, y uno de nuestros empleados fue desafortunadamente comprometido. Los atacantes utilizaron el acceso obtenido para infiltrarse en la infraestructura de TI de la empresa, y así obtuvieron el control de los nodos de validación. Ese empleado ya ha dejado la empresa."
Los validadores desempeñan múltiples funciones importantes en la cadena de bloques, incluyendo la creación de bloques de transacciones y la actualización de oráculos de datos. Ronin utiliza un mecanismo de "prueba de autoridad" para firmar transacciones, concentrando el poder en manos de 9 validadores de confianza.
La empresa de análisis de blockchain Elliptic explicó en un artículo de blog en abril: "Siempre que 5 de los 9 validadores aprueben, los fondos pueden ser transferidos. Los atacantes lograron obtener las claves privadas de 5 validadores, suficientes para robar activos cripto."
Sin embargo, después de que los hackers penetraron con éxito el sistema Ronin a través de anuncios de empleo falsos, solo controlaron 4 de los 9 validadores, y necesitaban controlar un validador más para completar el ataque.
Sky Mavis reveló en su informe posterior que los hackers finalmente aprovecharon Axie DAO (una organización que apoya el ecosistema de juegos) para llevar a cabo el ataque. Sky Mavis había solicitado la ayuda del DAO en noviembre de 2021 para manejar la pesada carga de transacciones.
"Axie DAO autoriza a Sky Mavis a firmar diversas transacciones en su nombre. Esta autorización se detuvo en diciembre de 2021, pero el acceso a la lista de permisos no fue revocado," dijo Sky Mavis en el informe. "Una vez que el atacante obtenga acceso al sistema de Sky Mavis, podrá obtener firmas de los validadores de Axie DAO."
Un mes después del ataque de los hackers, Sky Mavis aumentó el número de nodos de validación a 11 y declaró que su objetivo a largo plazo es tener más de 100 nodos.
Sky Mavis rechazó comentar sobre los detalles específicos del ataque de hackers. La plataforma de redes sociales profesionales relacionada tampoco respondió a las solicitudes de comentarios.
Sky Mavis obtuvo a principios de abril una financiación de 150 millones de dólares liderada por una plataforma de intercambio. Estos fondos se utilizarán junto con los fondos propios de la empresa para compensar a los usuarios afectados por el ataque. La empresa anunció recientemente que comenzará a reembolsar a los usuarios el 28 de junio. El puente de Ethereum de Ronin, que se había suspendido después del ataque, también se reinició la semana pasada.
Recientemente, ESET Research publicó un informe de investigación que muestra que el grupo Lazarus de Corea del Norte abusa de plataformas de redes sociales profesionales y software de mensajería instantánea para llevar a cabo ataques contra contratistas de la industria aeroespacial y de defensa. Sin embargo, el informe no relaciona esta técnica con el incidente de hackeo de Sky Mavis.
Además, en abril de este año, la agencia de seguridad Slow Fog emitió una alerta de seguridad, señalando que el grupo APT de Corea del Norte, Lazarus Group, utilizó una serie de aplicaciones maliciosas para llevar a cabo ataques APT dirigidos a la industria de los Activos Cripto. Las técnicas específicas incluyen:
Desempeñar diferentes roles en las principales redes sociales, aprovechando al máximo los principios de la ingeniería social.
Establecer contacto con los desarrolladores de la industria de la cadena de bloques para prepararse para acciones posteriores.
Establecer un sitio web de comercio encubierto como pretexto para reclutar empleados subcontratados.
Obtener la confianza de los desarrolladores y luego enviar malware para ataques de phishing.
Para hacer frente a este tipo de amenazas, SlowMist ofrece las siguientes recomendaciones de prevención:
Los profesionales de la industria deben prestar atención a la inteligencia de seguridad de las principales plataformas amenazadas, realizar autoevaluaciones y mantener la vigilancia.
Los desarrolladores deben realizar las verificaciones de seguridad necesarias antes de ejecutar el programa.
Establecer un mecanismo de cero confianza puede reducir efectivamente el riesgo que conlleva este tipo de amenaza.
Se recomienda a los usuarios de Mac/Windows mantener habilitada la protección en tiempo real del software de seguridad y actualizar la base de datos de virus de manera oportuna.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
9 me gusta
Recompensa
9
7
Republicar
Compartir
Comentar
0/400
StealthMoon
· hace6h
Corea del Norte le jugó una broma a este ingeniero.
Ver originalesResponder0
GasFeeLover
· hace6h
Se ha convertido realmente en un cajero automático de Corea del Norte.
Ver originalesResponder0
MEVSandwichMaker
· hace6h
¡Fuera de lugar! ¿Quién podría imaginar que sería tan fácil engañar?
Axie Infinity sufre un phishing de reclutamiento falso, perdiendo 540 millones de dólares en Activos Cripto
Ingeniero de Axie Infinity sufre de una contratación falsa que lleva al robo de 540 millones de dólares en Activos Cripto
Un ingeniero senior de Axie Infinity provocó accidentalmente uno de los mayores ataques de hackers en la industria de Activos Cripto al solicitar una empresa que posteriormente se confirmó como ficticia.
La cadena lateral de Ethereum exclusiva de Axie Infinity, Ronin, sufrió una violación de seguridad en marzo de este año, con pérdidas de hasta 540 millones de dólares en Activos Cripto. A pesar de que el gobierno de Estados Unidos posteriormente vinculó este incidente con el grupo de hackers norcoreanos Lazarus, los detalles específicos del ataque aún no se han hecho públicos.
Se informa que este incidente se originó a partir de un anuncio de trabajo falso. Varios informantes anónimos revelaron que, a principios de este año, una persona que se decía representante de una empresa contactó a empleados de Sky Mavis, el desarrollador de Axie Infinity, a través de una plataforma de redes profesionales, alentándolos a postularse. Después de varias rondas de entrevistas, un ingeniero de Sky Mavis recibió una oferta de salario elevado.
Luego, el ingeniero recibió un aviso de admisión en formato PDF falsificado. Al descargar este archivo, el software de hackeo logró infiltrarse en el sistema Ronin. Los hackers inmediatamente tomaron el control de 4 de los 9 validadores en la red Ronin, a solo un paso de poder controlar toda la red.
Sky Mavis declaró en el informe posterior publicado el 27 de abril: "Nuestros empleados continúan siendo víctimas de ataques avanzados de phishing en varios canales sociales, y uno de nuestros empleados fue desafortunadamente comprometido. Los atacantes utilizaron el acceso obtenido para infiltrarse en la infraestructura de TI de la empresa, y así obtuvieron el control de los nodos de validación. Ese empleado ya ha dejado la empresa."
Los validadores desempeñan múltiples funciones importantes en la cadena de bloques, incluyendo la creación de bloques de transacciones y la actualización de oráculos de datos. Ronin utiliza un mecanismo de "prueba de autoridad" para firmar transacciones, concentrando el poder en manos de 9 validadores de confianza.
La empresa de análisis de blockchain Elliptic explicó en un artículo de blog en abril: "Siempre que 5 de los 9 validadores aprueben, los fondos pueden ser transferidos. Los atacantes lograron obtener las claves privadas de 5 validadores, suficientes para robar activos cripto."
Sin embargo, después de que los hackers penetraron con éxito el sistema Ronin a través de anuncios de empleo falsos, solo controlaron 4 de los 9 validadores, y necesitaban controlar un validador más para completar el ataque.
Sky Mavis reveló en su informe posterior que los hackers finalmente aprovecharon Axie DAO (una organización que apoya el ecosistema de juegos) para llevar a cabo el ataque. Sky Mavis había solicitado la ayuda del DAO en noviembre de 2021 para manejar la pesada carga de transacciones.
"Axie DAO autoriza a Sky Mavis a firmar diversas transacciones en su nombre. Esta autorización se detuvo en diciembre de 2021, pero el acceso a la lista de permisos no fue revocado," dijo Sky Mavis en el informe. "Una vez que el atacante obtenga acceso al sistema de Sky Mavis, podrá obtener firmas de los validadores de Axie DAO."
Un mes después del ataque de los hackers, Sky Mavis aumentó el número de nodos de validación a 11 y declaró que su objetivo a largo plazo es tener más de 100 nodos.
Sky Mavis rechazó comentar sobre los detalles específicos del ataque de hackers. La plataforma de redes sociales profesionales relacionada tampoco respondió a las solicitudes de comentarios.
Sky Mavis obtuvo a principios de abril una financiación de 150 millones de dólares liderada por una plataforma de intercambio. Estos fondos se utilizarán junto con los fondos propios de la empresa para compensar a los usuarios afectados por el ataque. La empresa anunció recientemente que comenzará a reembolsar a los usuarios el 28 de junio. El puente de Ethereum de Ronin, que se había suspendido después del ataque, también se reinició la semana pasada.
Recientemente, ESET Research publicó un informe de investigación que muestra que el grupo Lazarus de Corea del Norte abusa de plataformas de redes sociales profesionales y software de mensajería instantánea para llevar a cabo ataques contra contratistas de la industria aeroespacial y de defensa. Sin embargo, el informe no relaciona esta técnica con el incidente de hackeo de Sky Mavis.
Además, en abril de este año, la agencia de seguridad Slow Fog emitió una alerta de seguridad, señalando que el grupo APT de Corea del Norte, Lazarus Group, utilizó una serie de aplicaciones maliciosas para llevar a cabo ataques APT dirigidos a la industria de los Activos Cripto. Las técnicas específicas incluyen:
Para hacer frente a este tipo de amenazas, SlowMist ofrece las siguientes recomendaciones de prevención: