Інженер Axie Infinity став жертвою фальшивого набору, що призвело до викрадення 5,4 мільярда доларів Криптоактивів
Старший інженер Axie Infinity випадково спровокував один з найбільших у світі хакерських атак у криптоіндустрії, подавши заявку до компанії, яка пізніше виявилася вигаданою.
Axie Infinity ексклюзивна ефірна бокова ланцюг Ronin у березні цього року зазнала хакерської атаки, в результаті якої було втрачено до 5,4 мільярда доларів США у криптоактивах. Хоча уряд США пізніше пов'язав цей інцидент з північнокорейською хакерською організацією Lazarus, конкретні деталі атаки ще не були повністю оприлюднені.
Відомо, що цей інцидент виник через фальшиву вакансію. Кілька анонімних джерел повідомили, що на початку цього року особа, яка стверджувала, що представляє певну компанію, зв'язалася з працівниками розробника Axie Infinity Sky Mavis через професійну соціальну мережу, закликаючи їх подавати заявки. Після кількох раундів співбесід один з інженерів Sky Mavis отримав високу пропозицію.
Після цього інженер отримав підроблений лист про зарахування у форматі PDF. Завантаживши цей файл, шкідливе програмне забезпечення успішно проникло в систему Ronin. Хакери одразу захопили та контролювали 4 з 9 валідаторів у мережі Ronin, залишившись всього на крок від повного контролю над усією мережею.
Sky Mavis у звіті, опублікованому 27 квітня, повідомила: "Наші співробітники постійно зазнають різноманітних високотехнологічних фішингових атак через соціальні канали, і один з співробітників, на жаль, був зламаний. Зловмисники використали отримані права доступу, щоб проникнути в ІТ-інфраструктуру компанії, внаслідок чого отримали контроль над верифікаційними вузлами. Цей співробітник вже звільнився."
Валідатори виконують кілька важливих функцій у блокчейні, включаючи створення транзакційних блоків і оновлення даних оракулів. Ronin використовує механізм "доказу авторитету" для підписання транзакцій, зосереджуючи владу в руках 9 довірених валідаторів.
Блокчейн-аналітична компанія Elliptic у блозі за квітень пояснила: "Якщо 5 з 9 валідаторів дадуть дозвіл, кошти можуть бути виведені. Зловмисник успішно отримав приватні ключі 5 валідаторів, що достатньо для викрадення криптоактивів."
Проте, після успішного проникнення в систему Ronin через фальшиві оголошення про роботу, хакери контролювали лише 4 з 9 валідаторів і їм потрібно ще захопити одного валідатора, щоб завершити атаку.
Sky Mavis у звіті після інциденту розкрив, що хакер врешті-решт використав Axie DAO (організацію, що підтримує ігрову екосистему) для здійснення атаки. Sky Mavis звернувся до DAO за допомогою у листопаді 2021 року для обробки великого обсягу транзакцій.
"Axie DAO уповноважив Sky Mavis представляти його підписування різних угод. Це уповноваження було припинено в грудні 2021 року, але доступ до списку дозволів не було відкликано," - сказав Sky Mavis у звіті. "Якщо зловмисник отримає доступ до системи Sky Mavis, він зможе отримати підпис від валідатора Axie DAO."
Через місяць після хакерської атаки Sky Mavis збільшила кількість верифікаційних вузлів до 11 і заявила, що їхньою довгостроковою метою є наявність понад 100 вузлів.
Sky Mavis відмовився коментувати конкретні деталі хакерської атаки. Відповідна професійна соціальна платформа також не відповіла на запити про коментарі.
Sky Mavis отримала 150 мільйонів доларів фінансування на початку квітня, яке було очолене певною торговою платформою. Ці кошти будуть використані разом із власними коштами компанії для компенсації користувачів, яких торкнулися наслідки атаки. Компанія нещодавно оголосила, що почне повертати кошти користувачам з 28 червня. Ethereum міст через Ronin, який було призупинено після хакерської атаки, також було відновлено минулого тижня.
Нещодавно ESET Research опублікував звіт, у якому йдеться про те, що організація Lazarus з Північної Кореї зловживає професійними соціальними платформами та програмами для миттєвого обміну повідомленнями, атакуючи підрядників у сфері аерокосмічної галузі та оборони. Проте в цьому звіті не було проведено зв'язок між цією технологією та хакерською атакою на Sky Mavis.
Крім того, у квітні цього року, агентство безпеки Slow Mist опублікувало повідомлення про безпеку, в якому зазначалося, що північнокорейськаAPT-організація Lazarus Group використовує ряд шкідливих додатків для цільовихAPT-атак на сектор криптоактивів. Конкретні методи включають:
Виконувати різні ролі в основних соціальних мережах, повністю використовуючи принципи соціальної інженерії.
Налагодити зв'язки з розробниками у сфері блокчейну для підготовки до подальших дій.
Створення підроблених торгових сайтів під приводом набору співробітників на аутсорс.
Отримавши довіру розробників, надішліть шкідливе програмне забезпечення для фішингової атаки.
Щодо цього виду загроз, Slow Mist надає такі рекомендації щодо запобігання:
Працівники галузі повинні уважно стежити за безпековою інформацією з великих загрозливих платформ, проводити самоінспекцію та бути на чеку.
Розробники повинні провести необхідні заходи безпеки перед запуском виконуваної програми.
Встановлення механізму нульового довіри може ефективно знизити ризики, пов'язані з такими загрозами.
Рекомендується користувачам Mac/Windows тримати активним реальний захист безпеки та своєчасно оновлювати вірусні бази.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
9 лайків
Нагородити
9
7
Репост
Поділіться
Прокоментувати
0/400
StealthMoon
· 6год тому
Північна Корея підставила цього інженера.
Переглянути оригіналвідповісти на0
GasFeeLover
· 6год тому
Справжній банкомат Північної Кореї.
Переглянути оригіналвідповісти на0
MEVSandwichMaker
· 6год тому
Це безглуздя! Хто міг подумати, що обдурити так легко.
Axie Infinity зазнала фішингу через фальшиві вакансії, втративши 5.4 мільярда доларів США у криптоактивах
Інженер Axie Infinity став жертвою фальшивого набору, що призвело до викрадення 5,4 мільярда доларів Криптоактивів
Старший інженер Axie Infinity випадково спровокував один з найбільших у світі хакерських атак у криптоіндустрії, подавши заявку до компанії, яка пізніше виявилася вигаданою.
Axie Infinity ексклюзивна ефірна бокова ланцюг Ronin у березні цього року зазнала хакерської атаки, в результаті якої було втрачено до 5,4 мільярда доларів США у криптоактивах. Хоча уряд США пізніше пов'язав цей інцидент з північнокорейською хакерською організацією Lazarus, конкретні деталі атаки ще не були повністю оприлюднені.
Відомо, що цей інцидент виник через фальшиву вакансію. Кілька анонімних джерел повідомили, що на початку цього року особа, яка стверджувала, що представляє певну компанію, зв'язалася з працівниками розробника Axie Infinity Sky Mavis через професійну соціальну мережу, закликаючи їх подавати заявки. Після кількох раундів співбесід один з інженерів Sky Mavis отримав високу пропозицію.
Після цього інженер отримав підроблений лист про зарахування у форматі PDF. Завантаживши цей файл, шкідливе програмне забезпечення успішно проникло в систему Ronin. Хакери одразу захопили та контролювали 4 з 9 валідаторів у мережі Ronin, залишившись всього на крок від повного контролю над усією мережею.
Sky Mavis у звіті, опублікованому 27 квітня, повідомила: "Наші співробітники постійно зазнають різноманітних високотехнологічних фішингових атак через соціальні канали, і один з співробітників, на жаль, був зламаний. Зловмисники використали отримані права доступу, щоб проникнути в ІТ-інфраструктуру компанії, внаслідок чого отримали контроль над верифікаційними вузлами. Цей співробітник вже звільнився."
Валідатори виконують кілька важливих функцій у блокчейні, включаючи створення транзакційних блоків і оновлення даних оракулів. Ronin використовує механізм "доказу авторитету" для підписання транзакцій, зосереджуючи владу в руках 9 довірених валідаторів.
Блокчейн-аналітична компанія Elliptic у блозі за квітень пояснила: "Якщо 5 з 9 валідаторів дадуть дозвіл, кошти можуть бути виведені. Зловмисник успішно отримав приватні ключі 5 валідаторів, що достатньо для викрадення криптоактивів."
Проте, після успішного проникнення в систему Ronin через фальшиві оголошення про роботу, хакери контролювали лише 4 з 9 валідаторів і їм потрібно ще захопити одного валідатора, щоб завершити атаку.
Sky Mavis у звіті після інциденту розкрив, що хакер врешті-решт використав Axie DAO (організацію, що підтримує ігрову екосистему) для здійснення атаки. Sky Mavis звернувся до DAO за допомогою у листопаді 2021 року для обробки великого обсягу транзакцій.
"Axie DAO уповноважив Sky Mavis представляти його підписування різних угод. Це уповноваження було припинено в грудні 2021 року, але доступ до списку дозволів не було відкликано," - сказав Sky Mavis у звіті. "Якщо зловмисник отримає доступ до системи Sky Mavis, він зможе отримати підпис від валідатора Axie DAO."
Через місяць після хакерської атаки Sky Mavis збільшила кількість верифікаційних вузлів до 11 і заявила, що їхньою довгостроковою метою є наявність понад 100 вузлів.
Sky Mavis відмовився коментувати конкретні деталі хакерської атаки. Відповідна професійна соціальна платформа також не відповіла на запити про коментарі.
Sky Mavis отримала 150 мільйонів доларів фінансування на початку квітня, яке було очолене певною торговою платформою. Ці кошти будуть використані разом із власними коштами компанії для компенсації користувачів, яких торкнулися наслідки атаки. Компанія нещодавно оголосила, що почне повертати кошти користувачам з 28 червня. Ethereum міст через Ronin, який було призупинено після хакерської атаки, також було відновлено минулого тижня.
Нещодавно ESET Research опублікував звіт, у якому йдеться про те, що організація Lazarus з Північної Кореї зловживає професійними соціальними платформами та програмами для миттєвого обміну повідомленнями, атакуючи підрядників у сфері аерокосмічної галузі та оборони. Проте в цьому звіті не було проведено зв'язок між цією технологією та хакерською атакою на Sky Mavis.
Крім того, у квітні цього року, агентство безпеки Slow Mist опублікувало повідомлення про безпеку, в якому зазначалося, що північнокорейськаAPT-організація Lazarus Group використовує ряд шкідливих додатків для цільовихAPT-атак на сектор криптоактивів. Конкретні методи включають:
Щодо цього виду загроз, Slow Mist надає такі рекомендації щодо запобігання: