Engenheiro do Axie Infinity enfrenta recrutamento falso que resulta em 540 milhões de dólares em ativos de criptografia roubados
Um engenheiro sênior da Axie Infinity acidentalmente provocou um dos maiores ataques hackers da indústria de encriptação ao se candidatar a uma empresa que mais tarde foi confirmada como fictícia.
A sidechain do Ethereum exclusiva do Axie Infinity, Ronin, foi invadida por hackers em março deste ano, resultando em perdas de até 540 milhões de dólares em ativos de criptografia. Embora o governo dos Estados Unidos tenha posteriormente associado este incidente ao grupo de hackers norte-coreano Lazarus, os detalhes específicos do ataque ainda não foram totalmente divulgados.
Segundo informações, este incidente originou-se de um anúncio de recrutamento falso. Várias fontes anônimas revelaram que, no início deste ano, uma pessoa que se dizia representante de uma determinada empresa contatou funcionários da desenvolvedora de Axie Infinity, Sky Mavis, através de uma plataforma de redes sociais profissionais, encorajando-os a se candidatar. Após várias rodadas de entrevistas, um engenheiro da Sky Mavis recebeu uma oferta de alto salário.
Em seguida, o engenheiro recebeu uma carta de aceitação falsificada em formato PDF. Após baixar o arquivo, o software malicioso conseguiu infiltrar-se no sistema Ronin. Os hackers imediatamente invadiram e controlaram 4 dos 9 validadores na rede Ronin, estando a apenas um passo de dominar completamente toda a rede.
A Sky Mavis declarou no relatório pós-incidente publicado em 27 de abril: "Os nossos funcionários continuam a ser alvo de ataques avançados de phishing em várias redes sociais, e um dos nossos funcionários foi infelicitadamente invadido. Os atacantes exploraram o acesso obtido para penetrar na infraestrutura de TI da empresa, obtendo assim o controle dos nós de validação. Esse funcionário já deixou a empresa."
Os validadores desempenham várias funções importantes na blockchain, incluindo a criação de blocos de transação e a atualização de oráculos de dados. Ronin adota o mecanismo de "prova de autoridade" para assinar transações, concentrando o poder em 9 validadores de confiança.
A empresa de análise de blockchain Elliptic explicou em um artigo de blog em abril: "Desde que 5 dos 9 validadores aprovem, os fundos podem ser transferidos. O atacante conseguiu obter as chaves privadas de 5 validadores, suficientes para roubar ativos de criptografia."
No entanto, após os hackers terem conseguido infiltrar o sistema Ronin através de anúncios de emprego falsos, controlaram apenas 4 dos 9 validadores, precisando controlar mais um validador para completar o ataque.
A Sky Mavis revelou no relatório posterior que os hackers acabaram por utilizar a Axie DAO (uma organização que suporta o ecossistema de jogos) para realizar o ataque. A Sky Mavis tinha solicitado a ajuda da DAO em novembro de 2021 para lidar com a pesada carga de transações.
"A Axie DAO autorizou a Sky Mavis a assinar várias transações em seu nome. Esta autorização foi suspensa em dezembro de 2021, mas o acesso à lista de permissões não foi revogado," disse a Sky Mavis no relatório. "Assim que o atacante obtiver acesso ao sistema da Sky Mavis, poderá obter assinaturas dos validadores da Axie DAO."
Um mês após o ataque de hackers, a Sky Mavis aumentou o número de nós de validação para 11 e afirmou que o objetivo a longo prazo é ter mais de 100 nós.
Sky Mavis recusou-se a comentar sobre os detalhes específicos do ataque de hackers. A plataforma de redes sociais profissionais relacionada também não respondeu aos pedidos de comentários.
A Sky Mavis obteve, no início de abril, um financiamento de 150 milhões de dólares liderado por uma plataforma de negociação. Este montante será utilizado, juntamente com os fundos próprios da empresa, para compensar os usuários afetados pelo ataque. A empresa anunciou recentemente que começará a reembolsar os usuários a partir de 28 de junho. A ponte Ethereum Ronin, que foi suspensa após o ataque, também foi reiniciada na semana passada.
Recentemente, a ESET Research publicou um relatório de investigação que mostra que o grupo Lazarus da Coreia do Norte está a abusar de plataformas de redes sociais profissionais e software de mensagens instantâneas para atacar contratantes do setor aeroespacial e de defesa. No entanto, o relatório não associou essa técnica ao incidente de hackers da Sky Mavis.
Além disso, em abril deste ano, a agência de segurança Slow Fog emitiu um alerta de segurança, apontando que o grupo APT da Coreia do Norte, Lazarus Group, estava utilizando uma série de aplicativos maliciosos para realizar ataques APT direcionados à indústria de ativos de criptografia. As técnicas específicas incluem:
Desempenhar diferentes papéis nas principais redes sociais, utilizando plenamente os princípios da engenharia social.
Estabelecer contato com desenvolvedores da indústria de blockchain, preparando-se para ações futuras.
Criar um site de negociação disfarçado, com a desculpa de recrutar funcionários terceirizados.
Após obter a confiança dos desenvolvedores, envie software malicioso para ataques de phishing.
Para essas ameaças, a Slow Mist apresenta as seguintes recomendações de prevenção:
Os profissionais da indústria devem prestar atenção às informações de segurança das principais plataformas de ameaça, realizar autoavaliações e aumentar a vigilância.
Os desenvolvedores devem realizar as verificações de segurança necessárias antes de executar o programa executável.
Estabelecer um mecanismo de zero confiança pode reduzir efetivamente os riscos associados a esse tipo de ameaça.
Recomenda-se que os utilizadores de Mac/Windows mantenham a proteção em tempo real do software de segurança ativada e atualizem regularmente a base de dados de vírus.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
9 Curtidas
Recompensa
9
7
Repostar
Compartilhar
Comentário
0/400
StealthMoon
· 6h atrás
A Coreia do Norte pregou uma peça a este engenheiro.
Ver originalResponder0
GasFeeLover
· 6h atrás
Realmente se tornou um caixa eletrônico da Coreia do Norte.
Ver originalResponder0
MEVSandwichMaker
· 6h atrás
Fora de questão! Quem poderia imaginar que seria tão fácil enganar?
Axie Infinity sofre phishing de recrutamento falso, resultando em uma perda de 540 milhões de dólares em ativos de criptografia.
Engenheiro do Axie Infinity enfrenta recrutamento falso que resulta em 540 milhões de dólares em ativos de criptografia roubados
Um engenheiro sênior da Axie Infinity acidentalmente provocou um dos maiores ataques hackers da indústria de encriptação ao se candidatar a uma empresa que mais tarde foi confirmada como fictícia.
A sidechain do Ethereum exclusiva do Axie Infinity, Ronin, foi invadida por hackers em março deste ano, resultando em perdas de até 540 milhões de dólares em ativos de criptografia. Embora o governo dos Estados Unidos tenha posteriormente associado este incidente ao grupo de hackers norte-coreano Lazarus, os detalhes específicos do ataque ainda não foram totalmente divulgados.
Segundo informações, este incidente originou-se de um anúncio de recrutamento falso. Várias fontes anônimas revelaram que, no início deste ano, uma pessoa que se dizia representante de uma determinada empresa contatou funcionários da desenvolvedora de Axie Infinity, Sky Mavis, através de uma plataforma de redes sociais profissionais, encorajando-os a se candidatar. Após várias rodadas de entrevistas, um engenheiro da Sky Mavis recebeu uma oferta de alto salário.
Em seguida, o engenheiro recebeu uma carta de aceitação falsificada em formato PDF. Após baixar o arquivo, o software malicioso conseguiu infiltrar-se no sistema Ronin. Os hackers imediatamente invadiram e controlaram 4 dos 9 validadores na rede Ronin, estando a apenas um passo de dominar completamente toda a rede.
A Sky Mavis declarou no relatório pós-incidente publicado em 27 de abril: "Os nossos funcionários continuam a ser alvo de ataques avançados de phishing em várias redes sociais, e um dos nossos funcionários foi infelicitadamente invadido. Os atacantes exploraram o acesso obtido para penetrar na infraestrutura de TI da empresa, obtendo assim o controle dos nós de validação. Esse funcionário já deixou a empresa."
Os validadores desempenham várias funções importantes na blockchain, incluindo a criação de blocos de transação e a atualização de oráculos de dados. Ronin adota o mecanismo de "prova de autoridade" para assinar transações, concentrando o poder em 9 validadores de confiança.
A empresa de análise de blockchain Elliptic explicou em um artigo de blog em abril: "Desde que 5 dos 9 validadores aprovem, os fundos podem ser transferidos. O atacante conseguiu obter as chaves privadas de 5 validadores, suficientes para roubar ativos de criptografia."
No entanto, após os hackers terem conseguido infiltrar o sistema Ronin através de anúncios de emprego falsos, controlaram apenas 4 dos 9 validadores, precisando controlar mais um validador para completar o ataque.
A Sky Mavis revelou no relatório posterior que os hackers acabaram por utilizar a Axie DAO (uma organização que suporta o ecossistema de jogos) para realizar o ataque. A Sky Mavis tinha solicitado a ajuda da DAO em novembro de 2021 para lidar com a pesada carga de transações.
"A Axie DAO autorizou a Sky Mavis a assinar várias transações em seu nome. Esta autorização foi suspensa em dezembro de 2021, mas o acesso à lista de permissões não foi revogado," disse a Sky Mavis no relatório. "Assim que o atacante obtiver acesso ao sistema da Sky Mavis, poderá obter assinaturas dos validadores da Axie DAO."
Um mês após o ataque de hackers, a Sky Mavis aumentou o número de nós de validação para 11 e afirmou que o objetivo a longo prazo é ter mais de 100 nós.
Sky Mavis recusou-se a comentar sobre os detalhes específicos do ataque de hackers. A plataforma de redes sociais profissionais relacionada também não respondeu aos pedidos de comentários.
A Sky Mavis obteve, no início de abril, um financiamento de 150 milhões de dólares liderado por uma plataforma de negociação. Este montante será utilizado, juntamente com os fundos próprios da empresa, para compensar os usuários afetados pelo ataque. A empresa anunciou recentemente que começará a reembolsar os usuários a partir de 28 de junho. A ponte Ethereum Ronin, que foi suspensa após o ataque, também foi reiniciada na semana passada.
Recentemente, a ESET Research publicou um relatório de investigação que mostra que o grupo Lazarus da Coreia do Norte está a abusar de plataformas de redes sociais profissionais e software de mensagens instantâneas para atacar contratantes do setor aeroespacial e de defesa. No entanto, o relatório não associou essa técnica ao incidente de hackers da Sky Mavis.
Além disso, em abril deste ano, a agência de segurança Slow Fog emitiu um alerta de segurança, apontando que o grupo APT da Coreia do Norte, Lazarus Group, estava utilizando uma série de aplicativos maliciosos para realizar ataques APT direcionados à indústria de ativos de criptografia. As técnicas específicas incluem:
Para essas ameaças, a Slow Mist apresenta as seguintes recomendações de prevenção: