Axie Infinity mühendisleri sahte işe alım nedeniyle 5.4 milyar dolar değerinde Kripto Varlıklar çalındı
Bir Axie Infinity kıdemli mühendisinin, daha sonra kurgusal olduğu kanıtlanan bir şirkete başvurması, kripto varlıklar sektöründeki en büyük siber saldırılardan birine sebep oldu.
Axie Infinity'ye özel Ethereum yan zinciri Ronin, bu yıl mart ayında bir siber saldırıya uğradı ve 5.4 milyar dolar değerinde Kripto Varlıklar kaybetti. ABD hükümeti daha sonra bu olayı Kuzey Koreli siber saldırı grubu Lazarus ile ilişkilendirdi, ancak saldırının ayrıntıları henüz tamamen açıklanmadı.
Edinilen bilgilere göre, bu olay sahte bir işe alım ilanından kaynaklanıyor. Birden fazla anonim kaynağa göre, bu yılın başlarında, belirli bir şirketi temsil ettiğini iddia eden bir kişi, kariyer sosyal platformu aracılığıyla Axie Infinity geliştiricisi Sky Mavis'in çalışanlarıyla iletişime geçti ve onları işe başvurmaya teşvik etti. Birkaç mülakatın ardından, bir Sky Mavis mühendisi yüksek maaşlı bir teklif aldı.
Daha sonra, mühendis sahte bir PDF formatında kabul mektubu aldı. Bu dosyayı indirdikten sonra, kötü amaçlı yazılım Ronin sistemine sızmayı başardı. Hacker hemen Ronin ağı üzerindeki 9 doğrulayıcıdan 4'ünü ele geçirip kontrol altına aldı, tüm ağı tamamen kontrol etmesine sadece bir adım kalmıştı.
Sky Mavis, 27 Nisan'da yayınladığı sonrasında raporda, "Çalışanlarımız çeşitli sosyal kanallarda üst düzey kimlik avı saldırılarına maruz kalmaya devam ediyor, bu saldırılardan birine uğrayan bir çalışanımız maalesef hacklendi. Saldırganlar, elde ettikleri erişim yetkisini kullanarak şirketin IT altyapısına sızdılar ve böylece doğrulama düğümlerinin kontrolünü ele geçirdiler. O çalışan artık işten ayrıldı."
Blok zincirinde doğrulayıcılar, işlem blokları oluşturma ve veri oracle'larını güncelleme gibi birden fazla önemli işlev üstlenir. Ronin, işlemleri imzalamak için "otorite kanıtı" mekanizmasını benimsemekte ve gücü 9 güvenilir doğrulayıcının elinde toplamaktadır.
Blok zinciri analiz şirketi Elliptic, Nisan ayında bir blog yazısında şu açıklamayı yaptı: "9 doğrulayıcıdan sadece 5'inin onaylaması yeterlidir, fonlar transfer edilebilir. Saldırganlar, Kripto Varlıklar'ı çalmak için yeterli olan 5 doğrulayıcının özel anahtarını başarıyla elde etti."
Ancak, bilgisayar korsanları sahte iş ilanları aracılığıyla Ronin sistemine başarıyla sızdıktan sonra, yalnızca 9 doğrulayıcıdan 4'ünü kontrol altına aldı ve saldırıyı tamamlamak için bir doğrulayıcıyı daha kontrol altına alması gerekiyordu.
Sky Mavis, son raporunda, hackerların sonunda Axie DAO'yu (bir oyun ekosistemini destekleyen bir organizasyon) kullanarak saldırıyı gerçekleştirdiğini açıkladı. Sky Mavis, Kasım 2021'de DAO'dan yoğun işlem yükünü yönetme konusunda yardım istemişti.
"Axie DAO, Sky Mavis'i çeşitli işlemleri imzalamak için yetkilendirdi. Bu yetki, 2021 Aralık ayında sona erdi, ancak izinli listeye erişim hakkı iptal edilmedi," dedi Sky Mavis raporda. "Bir kez saldırganlar Sky Mavis sistemine erişim sağlarsa, Axie DAO doğrulayıcısından imza alabilirler."
Bir ay sonra bir siber saldırı gerçekleştiğinde, Sky Mavis doğrulayıcı düğüm sayısını 11'e çıkardı ve uzun vadeli hedefinin 100'den fazla düğüm sahibi olmak olduğunu belirtti.
Sky Mavis, hacker saldırısının detayları hakkında yorum yapmayı reddetti. İlgili profesyonel sosyal medya platformları da yorum taleplerine yanıt vermedi.
Sky Mavis, Nisan ayının başında bir ticaret platformunun öncülüğünde 150 milyon dolarlık bir finansman elde etti. Bu fon, şirketin kendi kaynakları ile birlikte saldırıdan etkilenen kullanıcıları tazmin etmek için kullanılacak. Şirket, kullanıcılarına 28 Haziran'dan itibaren para iade etmeye başlayacağını açıkladı. Saldırıdan sonra durdurulan Ronin Ethereum köprüsü de geçen hafta yeniden başlatıldı.
Son günlerde, ESET Araştırma bir anket raporu yayınladı ve Kuzey Kore'nin Lazarus grubunun mesleki sosyal platformlar ve anlık iletişim yazılımlarını kötüye kullanarak havacılık ve savunma yüklenicilerine saldırılar düzenlediğini gösterdi. Ancak bu rapor, bu tekniği Sky Mavis siber saldırısı ile ilişkilendirmedi.
Ayrıca, bu yıl Nisan ayında, güvenlik ajansı Slow Fog, Kuzey Kore APT grubu Lazarus Group'un dijital varlık sektörüne yönelik hedefli APT saldırıları için bir dizi kötü amaçlı uygulama kullandığını belirten bir güvenlik uyarısı yayınladı. Spesifik yöntemler şunları içeriyor:
Farklı sosyal medya platformlarında farklı roller üstlenmek, sosyal mühendislik prensiplerini etkin bir şekilde kullanmak.
Blockchain sektöründeki geliştiricilerle bağlantı kurmak, sonraki adımlar için hazırlık yapmak.
Dışarıdan çalışanları işe almak gibi bahanelerle sahte bir ticaret sitesi kurmak.
Geliştiricilerin güvenini kazandıktan sonra, kimlik avı saldırıları için kötü amaçlı yazılım gönderin.
Bu tür tehditler için Slow Mist aşağıdaki önleme önerilerini sunmaktadır:
Sektör çalışanları, büyük tehdit platformlarının güvenlik istihbaratını yakından takip etmeli, kendi kontrollerini yapmalı ve dikkatli olmalıdır.
Geliştiriciler, yürütülebilir programı çalıştırmadan önce gerekli güvenlik kontrollerini yapmalıdır.
Sıfır güven mekanizmasının kurulması, bu tür tehditlerin getirdiği riskleri etkili bir şekilde azaltabilir.
Mac/Windows gerçek kullanıcılarının güvenlik yazılımlarını gerçek zamanlı koruma açık tutmaları ve virüs veritabanını zamanında güncellemeleri önerilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
9 Likes
Reward
9
7
Repost
Share
Comment
0/400
StealthMoon
· 6h ago
Kuzey Kore bu mühendisle bir oyun oynadı.
View OriginalReply0
GasFeeLover
· 6h ago
Gerçekten Kuzey Kore'nin ATM'si oldu.
View OriginalReply0
MEVSandwichMaker
· 6h ago
Büyük bir absürtlük! Kim bu kadar kolay dolandırılacağını tahmin edebilirdi?
Axie Infinity sahte işe alım dolandırıcılığına uğradı, 5.4 milyar dolar değerinde Kripto Varlıklar kaybetti.
Axie Infinity mühendisleri sahte işe alım nedeniyle 5.4 milyar dolar değerinde Kripto Varlıklar çalındı
Bir Axie Infinity kıdemli mühendisinin, daha sonra kurgusal olduğu kanıtlanan bir şirkete başvurması, kripto varlıklar sektöründeki en büyük siber saldırılardan birine sebep oldu.
Axie Infinity'ye özel Ethereum yan zinciri Ronin, bu yıl mart ayında bir siber saldırıya uğradı ve 5.4 milyar dolar değerinde Kripto Varlıklar kaybetti. ABD hükümeti daha sonra bu olayı Kuzey Koreli siber saldırı grubu Lazarus ile ilişkilendirdi, ancak saldırının ayrıntıları henüz tamamen açıklanmadı.
Edinilen bilgilere göre, bu olay sahte bir işe alım ilanından kaynaklanıyor. Birden fazla anonim kaynağa göre, bu yılın başlarında, belirli bir şirketi temsil ettiğini iddia eden bir kişi, kariyer sosyal platformu aracılığıyla Axie Infinity geliştiricisi Sky Mavis'in çalışanlarıyla iletişime geçti ve onları işe başvurmaya teşvik etti. Birkaç mülakatın ardından, bir Sky Mavis mühendisi yüksek maaşlı bir teklif aldı.
Daha sonra, mühendis sahte bir PDF formatında kabul mektubu aldı. Bu dosyayı indirdikten sonra, kötü amaçlı yazılım Ronin sistemine sızmayı başardı. Hacker hemen Ronin ağı üzerindeki 9 doğrulayıcıdan 4'ünü ele geçirip kontrol altına aldı, tüm ağı tamamen kontrol etmesine sadece bir adım kalmıştı.
Sky Mavis, 27 Nisan'da yayınladığı sonrasında raporda, "Çalışanlarımız çeşitli sosyal kanallarda üst düzey kimlik avı saldırılarına maruz kalmaya devam ediyor, bu saldırılardan birine uğrayan bir çalışanımız maalesef hacklendi. Saldırganlar, elde ettikleri erişim yetkisini kullanarak şirketin IT altyapısına sızdılar ve böylece doğrulama düğümlerinin kontrolünü ele geçirdiler. O çalışan artık işten ayrıldı."
Blok zincirinde doğrulayıcılar, işlem blokları oluşturma ve veri oracle'larını güncelleme gibi birden fazla önemli işlev üstlenir. Ronin, işlemleri imzalamak için "otorite kanıtı" mekanizmasını benimsemekte ve gücü 9 güvenilir doğrulayıcının elinde toplamaktadır.
Blok zinciri analiz şirketi Elliptic, Nisan ayında bir blog yazısında şu açıklamayı yaptı: "9 doğrulayıcıdan sadece 5'inin onaylaması yeterlidir, fonlar transfer edilebilir. Saldırganlar, Kripto Varlıklar'ı çalmak için yeterli olan 5 doğrulayıcının özel anahtarını başarıyla elde etti."
Ancak, bilgisayar korsanları sahte iş ilanları aracılığıyla Ronin sistemine başarıyla sızdıktan sonra, yalnızca 9 doğrulayıcıdan 4'ünü kontrol altına aldı ve saldırıyı tamamlamak için bir doğrulayıcıyı daha kontrol altına alması gerekiyordu.
Sky Mavis, son raporunda, hackerların sonunda Axie DAO'yu (bir oyun ekosistemini destekleyen bir organizasyon) kullanarak saldırıyı gerçekleştirdiğini açıkladı. Sky Mavis, Kasım 2021'de DAO'dan yoğun işlem yükünü yönetme konusunda yardım istemişti.
"Axie DAO, Sky Mavis'i çeşitli işlemleri imzalamak için yetkilendirdi. Bu yetki, 2021 Aralık ayında sona erdi, ancak izinli listeye erişim hakkı iptal edilmedi," dedi Sky Mavis raporda. "Bir kez saldırganlar Sky Mavis sistemine erişim sağlarsa, Axie DAO doğrulayıcısından imza alabilirler."
Bir ay sonra bir siber saldırı gerçekleştiğinde, Sky Mavis doğrulayıcı düğüm sayısını 11'e çıkardı ve uzun vadeli hedefinin 100'den fazla düğüm sahibi olmak olduğunu belirtti.
Sky Mavis, hacker saldırısının detayları hakkında yorum yapmayı reddetti. İlgili profesyonel sosyal medya platformları da yorum taleplerine yanıt vermedi.
Sky Mavis, Nisan ayının başında bir ticaret platformunun öncülüğünde 150 milyon dolarlık bir finansman elde etti. Bu fon, şirketin kendi kaynakları ile birlikte saldırıdan etkilenen kullanıcıları tazmin etmek için kullanılacak. Şirket, kullanıcılarına 28 Haziran'dan itibaren para iade etmeye başlayacağını açıkladı. Saldırıdan sonra durdurulan Ronin Ethereum köprüsü de geçen hafta yeniden başlatıldı.
Son günlerde, ESET Araştırma bir anket raporu yayınladı ve Kuzey Kore'nin Lazarus grubunun mesleki sosyal platformlar ve anlık iletişim yazılımlarını kötüye kullanarak havacılık ve savunma yüklenicilerine saldırılar düzenlediğini gösterdi. Ancak bu rapor, bu tekniği Sky Mavis siber saldırısı ile ilişkilendirmedi.
Ayrıca, bu yıl Nisan ayında, güvenlik ajansı Slow Fog, Kuzey Kore APT grubu Lazarus Group'un dijital varlık sektörüne yönelik hedefli APT saldırıları için bir dizi kötü amaçlı uygulama kullandığını belirten bir güvenlik uyarısı yayınladı. Spesifik yöntemler şunları içeriyor:
Bu tür tehditler için Slow Mist aşağıdaki önleme önerilerini sunmaktadır: