Les ingénieurs d'Axie Infinity victimes d'une fausse offre d'emploi entraînant le vol de 540 millions de dollars en cryptoactifs
Un ingénieur senior d'Axie Infinity a involontairement déclenché l'une des plus grandes attaques de hackers de l'industrie du chiffrement en postulant pour une entreprise qui s'est ensuite avérée fictive.
La sidechain Ronin d'Axie Infinity, dédiée à Ethereum, a été victime d'un piratage en mars de cette année, entraînant une perte de 540 millions de dollars en cryptoactifs. Bien que le gouvernement américain ait par la suite associé cet événement au groupe de hackers nord-coréen Lazarus, les détails spécifiques de l'attaque n'ont pas encore été entièrement divulgués.
Selon des sources, cet incident provient d'une fausse annonce de recrutement. Plusieurs informateurs anonymes ont révélé qu'au début de cette année, une personne se présentant comme représentant d'une certaine entreprise a contacté des employés de Sky Mavis, le développeur d'Axie Infinity, via une plateforme de réseaux sociaux professionnels, les encourageant à postuler. Après plusieurs tours d'entretien, un ingénieur de Sky Mavis a reçu une offre d'emploi bien rémunérée.
Ensuite, l'ingénieur a reçu un faux avis d'admission au format PDF. Après avoir téléchargé ce fichier, le logiciel malveillant a réussi à pénétrer dans le système Ronin. Les hackers ont immédiatement attaqué et contrôlé 4 des 9 validateurs sur le réseau Ronin, à un pas de prendre le contrôle total du réseau.
Sky Mavis a déclaré dans son rapport post-incident publié le 27 avril : "Nos employés continuent d'être la cible de diverses attaques de phishing avancées sur les réseaux sociaux, et l'un de nos employés a malheureusement été compromis. Les attaquants ont utilisé les accès obtenus pour infiltrer l'infrastructure informatique de l'entreprise, prenant ainsi le contrôle des nœuds de validation. Cet employé a depuis quitté l'entreprise."
Les validateurs jouent plusieurs rôles importants dans la blockchain, notamment la création de blocs de transactions et la mise à jour des oracles de données. Ronin utilise un mécanisme de "preuve d'autorité" pour signer les transactions, centralisant le pouvoir entre les mains de 9 validateurs de confiance.
La société d'analyse de blockchain Elliptic a expliqué dans un article de blog en avril : "Dès que 5 des 9 validateurs approuvent, les fonds peuvent être transférés. L'attaquant a réussi à obtenir les clés privées de 5 validateurs, suffisantes pour voler des cryptoactifs."
Cependant, après avoir réussi à infiltrer le système Ronin via de fausses annonces de recrutement, les hackers n'ont contrôlé que 4 des 9 validateurs et doivent encore contrôler un validateur supplémentaire pour terminer l'attaque.
Sky Mavis a révélé dans son rapport ultérieur que les hackers ont finalement utilisé Axie DAO (une organisation qui soutient l'écosystème de jeu) pour réaliser l'attaque. Sky Mavis avait demandé l'aide de la DAO en novembre 2021 pour gérer une charge de transactions lourde.
"Axie DAO autorise Sky Mavis à signer diverses transactions en son nom. Cette autorisation a été arrêtée en décembre 2021, mais l'accès à la liste des permis n'a pas été révoqué," a déclaré Sky Mavis dans son rapport. "Une fois que l'attaquant a accès au système de Sky Mavis, il peut obtenir des signatures des validateurs d'Axie DAO."
Un mois après l'attaque des hackers, Sky Mavis a augmenté le nombre de nœuds de validation à 11 et a déclaré que l'objectif à long terme était d'avoir plus de 100 nœuds.
Sky Mavis a refusé de commenter sur les détails spécifiques de l'attaque des hackers. La plateforme de réseaux sociaux professionnelle concernée n'a également pas répondu aux demandes de commentaires.
Sky Mavis a obtenu début avril un financement de 150 millions de dollars mené par une certaine plateforme d'échange. Ces fonds seront utilisés avec les propres fonds de l'entreprise pour indemniser les utilisateurs affectés par l'attaque. L'entreprise a récemment annoncé qu'elle commencerait à rembourser les utilisateurs le 28 juin. Le pont Ethereum Ronin, suspendu après le piratage, a également redémarré la semaine dernière.
Récemment, ESET Research a publié un rapport d'enquête, montrant que le groupe Lazarus de Corée du Nord abuse des plateformes de réseaux sociaux professionnels et des logiciels de messagerie instantanée pour attaquer des entrepreneurs dans le secteur aérospatial et de la défense. Cependant, le rapport ne lie pas cette technique à l'incident de piratage de Sky Mavis.
De plus, en avril de cette année, l'agence de sécurité Slow Fog a publié un avertissement de sécurité, indiquant que le groupe APT nord-coréen Lazarus Group menait des attaques APT ciblées sur l'industrie des Cryptoactifs en utilisant une série d'applications malveillantes. Les méthodes spécifiques comprennent :
Jouer différents rôles sur les principaux réseaux sociaux, en utilisant pleinement les principes de l'ingénierie sociale.
Établir des contacts avec les développeurs de l'industrie des blockchain pour préparer les actions futures.
Établir un site de trading déguisé, sous prétexte de recruter des employés sous-traitants, etc.
Après avoir obtenu la confiance des développeurs, envoyez des logiciels malveillants pour des attaques de phishing.
Pour faire face à ce type de menace, Slow Mist propose les conseils de prévention suivants :
Les professionnels de l'industrie doivent suivre de près les informations de sécurité des grandes plateformes menacées, effectuer des auto-vérifications et rester vigilants.
Les développeurs doivent effectuer les vérifications de sécurité nécessaires avant d'exécuter le programme exécutable.
Établir un mécanisme de confiance zéro peut réduire efficacement les risques associés à ce type de menace.
Il est conseillé aux utilisateurs de Mac/Windows de garder la protection en temps réel de leurs logiciels de sécurité activée et de mettre à jour régulièrement la base de données des virus.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
9 J'aime
Récompense
9
7
Reposter
Partager
Commentaire
0/400
StealthMoon
· Il y a 6h
La Corée du Nord a piégé cet ingénieur.
Voir l'originalRépondre0
GasFeeLover
· Il y a 6h
C'est vraiment un distributeur automatique de Corée du Nord.
Voir l'originalRépondre0
MEVSandwichMaker
· Il y a 6h
C'est incroyable ! Qui aurait pensé que ce serait si facile de tromper.
Voir l'originalRépondre0
PoetryOnChain
· Il y a 6h
Encore un pigeon sur le bateau des voleurs.
Voir l'originalRépondre0
LidoStakeAddict
· Il y a 6h
Cet argent est vraiment excitant
Voir l'originalRépondre0
governance_ghost
· Il y a 6h
Qu'est-ce que cet executive a pris comme médicament?
Axie Infinity victime de phishing par de fausses offres d'emploi, perte de 5,4 milliards de dollars en cryptoactifs
Les ingénieurs d'Axie Infinity victimes d'une fausse offre d'emploi entraînant le vol de 540 millions de dollars en cryptoactifs
Un ingénieur senior d'Axie Infinity a involontairement déclenché l'une des plus grandes attaques de hackers de l'industrie du chiffrement en postulant pour une entreprise qui s'est ensuite avérée fictive.
La sidechain Ronin d'Axie Infinity, dédiée à Ethereum, a été victime d'un piratage en mars de cette année, entraînant une perte de 540 millions de dollars en cryptoactifs. Bien que le gouvernement américain ait par la suite associé cet événement au groupe de hackers nord-coréen Lazarus, les détails spécifiques de l'attaque n'ont pas encore été entièrement divulgués.
Selon des sources, cet incident provient d'une fausse annonce de recrutement. Plusieurs informateurs anonymes ont révélé qu'au début de cette année, une personne se présentant comme représentant d'une certaine entreprise a contacté des employés de Sky Mavis, le développeur d'Axie Infinity, via une plateforme de réseaux sociaux professionnels, les encourageant à postuler. Après plusieurs tours d'entretien, un ingénieur de Sky Mavis a reçu une offre d'emploi bien rémunérée.
Ensuite, l'ingénieur a reçu un faux avis d'admission au format PDF. Après avoir téléchargé ce fichier, le logiciel malveillant a réussi à pénétrer dans le système Ronin. Les hackers ont immédiatement attaqué et contrôlé 4 des 9 validateurs sur le réseau Ronin, à un pas de prendre le contrôle total du réseau.
Sky Mavis a déclaré dans son rapport post-incident publié le 27 avril : "Nos employés continuent d'être la cible de diverses attaques de phishing avancées sur les réseaux sociaux, et l'un de nos employés a malheureusement été compromis. Les attaquants ont utilisé les accès obtenus pour infiltrer l'infrastructure informatique de l'entreprise, prenant ainsi le contrôle des nœuds de validation. Cet employé a depuis quitté l'entreprise."
Les validateurs jouent plusieurs rôles importants dans la blockchain, notamment la création de blocs de transactions et la mise à jour des oracles de données. Ronin utilise un mécanisme de "preuve d'autorité" pour signer les transactions, centralisant le pouvoir entre les mains de 9 validateurs de confiance.
La société d'analyse de blockchain Elliptic a expliqué dans un article de blog en avril : "Dès que 5 des 9 validateurs approuvent, les fonds peuvent être transférés. L'attaquant a réussi à obtenir les clés privées de 5 validateurs, suffisantes pour voler des cryptoactifs."
Cependant, après avoir réussi à infiltrer le système Ronin via de fausses annonces de recrutement, les hackers n'ont contrôlé que 4 des 9 validateurs et doivent encore contrôler un validateur supplémentaire pour terminer l'attaque.
Sky Mavis a révélé dans son rapport ultérieur que les hackers ont finalement utilisé Axie DAO (une organisation qui soutient l'écosystème de jeu) pour réaliser l'attaque. Sky Mavis avait demandé l'aide de la DAO en novembre 2021 pour gérer une charge de transactions lourde.
"Axie DAO autorise Sky Mavis à signer diverses transactions en son nom. Cette autorisation a été arrêtée en décembre 2021, mais l'accès à la liste des permis n'a pas été révoqué," a déclaré Sky Mavis dans son rapport. "Une fois que l'attaquant a accès au système de Sky Mavis, il peut obtenir des signatures des validateurs d'Axie DAO."
Un mois après l'attaque des hackers, Sky Mavis a augmenté le nombre de nœuds de validation à 11 et a déclaré que l'objectif à long terme était d'avoir plus de 100 nœuds.
Sky Mavis a refusé de commenter sur les détails spécifiques de l'attaque des hackers. La plateforme de réseaux sociaux professionnelle concernée n'a également pas répondu aux demandes de commentaires.
Sky Mavis a obtenu début avril un financement de 150 millions de dollars mené par une certaine plateforme d'échange. Ces fonds seront utilisés avec les propres fonds de l'entreprise pour indemniser les utilisateurs affectés par l'attaque. L'entreprise a récemment annoncé qu'elle commencerait à rembourser les utilisateurs le 28 juin. Le pont Ethereum Ronin, suspendu après le piratage, a également redémarré la semaine dernière.
Récemment, ESET Research a publié un rapport d'enquête, montrant que le groupe Lazarus de Corée du Nord abuse des plateformes de réseaux sociaux professionnels et des logiciels de messagerie instantanée pour attaquer des entrepreneurs dans le secteur aérospatial et de la défense. Cependant, le rapport ne lie pas cette technique à l'incident de piratage de Sky Mavis.
De plus, en avril de cette année, l'agence de sécurité Slow Fog a publié un avertissement de sécurité, indiquant que le groupe APT nord-coréen Lazarus Group menait des attaques APT ciblées sur l'industrie des Cryptoactifs en utilisant une série d'applications malveillantes. Les méthodes spécifiques comprennent :
Pour faire face à ce type de menace, Slow Mist propose les conseils de prévention suivants :