Kỹ sư Axie Infinity gặp phải tuyển dụng giả dẫn đến việc 5.4 triệu đô la Tài sản tiền điện tử bị đánh cắp
Một kỹ sư cấp cao của Axie Infinity đã vô tình gây ra một trong những cuộc tấn công hacker lớn nhất trong ngành Tài sản tiền điện tử khi nộp đơn xin việc cho một công ty sau này được xác nhận là hư cấu.
Chuỗi bên Ethereum Ronin, đặc biệt dành cho Axie Infinity, đã bị xâm nhập bởi hacker vào tháng 3 năm nay, với tổng thiệt hại lên tới 540 triệu đô la Tài sản tiền điện tử. Mặc dù chính phủ Mỹ sau đó đã liên kết sự kiện này với tổ chức hacker Triều Tiên Lazarus, nhưng các chi tiết cụ thể về cuộc tấn công vẫn chưa được công bố hoàn toàn.
Theo thông tin, sự việc này bắt nguồn từ một quảng cáo tuyển dụng giả. Nhiều nguồn tin ẩn danh cho biết, vào đầu năm nay, một người tự xưng là đại diện của một công ty đã liên lạc với nhân viên của nhà phát triển Axie Infinity, Sky Mavis, qua một nền tảng mạng xã hội nghề nghiệp, khuyến khích họ nộp đơn xin việc. Sau nhiều vòng phỏng vấn, một kỹ sư của Sky Mavis đã nhận được một đề nghị lương cao.
Sau đó, kỹ sư nhận được một thông báo nhập học giả mạo dưới định dạng PDF. Sau khi tải xuống tài liệu này, phần mềm độc hại đã thành công xâm nhập vào hệ thống Ronin. Hacker ngay lập tức đã tấn công và kiểm soát 4 trong số 9 xác thực viên trên mạng Ronin, chỉ còn một bước nữa là có thể hoàn toàn kiểm soát toàn bộ mạng.
Sky Mavis đã cho biết trong báo cáo sau sự việc phát hành vào ngày 27 tháng 4: "Nhân viên của chúng tôi liên tục phải chịu đựng các cuộc tấn công lừa đảo mạng cao cấp qua nhiều kênh xã hội, và một nhân viên không may đã bị xâm nhập. Kẻ tấn công đã tận dụng quyền truy cập đã có để thâm nhập vào cơ sở hạ tầng CNTT của công ty, từ đó giành quyền kiểm soát các nút xác thực. Nhân viên đó đã nghỉ việc."
Các trình xác thực đảm nhiệm nhiều chức năng quan trọng trong blockchain, bao gồm việc tạo các khối giao dịch và cập nhật dữ liệu oracle. Ronin sử dụng cơ chế "chứng minh quyền lực" để ký giao dịch, tập trung quyền lực vào 9 trình xác thực đáng tin cậy.
Công ty phân tích blockchain Elliptic đã giải thích trong một bài viết trên blog vào tháng 4: "Chỉ cần 5 trong số 9 người xác nhận đồng ý, thì tiền có thể được chuyển đi. Kẻ tấn công đã thành công trong việc lấy được khóa riêng của 5 người xác nhận, đủ để đánh cắp tài sản mã hóa."
Tuy nhiên, sau khi tin tặc thâm nhập vào hệ thống Ronin thông qua quảng cáo tuyển dụng giả, họ chỉ kiểm soát được 4 trong số 9 xác thực viên, và cần kiểm soát thêm 1 xác thực viên nữa để hoàn tất cuộc tấn công.
Sky Mavis đã tiết lộ trong báo cáo sau vụ việc rằng các hacker cuối cùng đã lợi dụng Axie DAO (một tổ chức hỗ trợ hệ sinh thái trò chơi) để thực hiện cuộc tấn công. Sky Mavis đã yêu cầu DAO hỗ trợ xử lý khối lượng giao dịch lớn vào tháng 11 năm 2021.
"Axie DAO ủy quyền cho Sky Mavis đại diện ký các giao dịch khác nhau. Quyền ủy quyền này đã dừng lại vào tháng 12 năm 2021, nhưng quyền truy cập vào danh sách cấp phép chưa bị thu hồi," Sky Mavis cho biết trong báo cáo. "Một khi kẻ tấn công có được quyền truy cập vào hệ thống của Sky Mavis, họ có thể nhận được chữ ký từ các trình xác thực của Axie DAO."
Sau một tháng xảy ra cuộc tấn công của hacker, Sky Mavis đã tăng số lượng nút xác thực lên 11 và cho biết mục tiêu lâu dài là có hơn 100 nút.
Sky Mavis từ chối bình luận về chi tiết cụ thể của vụ tấn công mạng. Các nền tảng mạng xã hội nghề nghiệp liên quan cũng không phản hồi yêu cầu bình luận.
Sky Mavis đã nhận được 150 triệu USD tài trợ do một nền tảng giao dịch đứng đầu vào đầu tháng 4. Số tiền này sẽ được sử dụng cùng với vốn tự có của công ty để bồi thường cho người dùng bị ảnh hưởng bởi cuộc tấn công. Công ty gần đây đã thông báo sẽ bắt đầu hoàn trả tiền cho người dùng vào ngày 28 tháng 6. Cây cầu Ethereum Ronin đã bị tạm dừng sau cuộc tấn công cũng đã được khởi động lại vào tuần trước.
Gần đây, ESET Research đã công bố một báo cáo khảo sát cho thấy tổ chức Lazarus của Triều Tiên đã lạm dụng các nền tảng mạng xã hội nghề nghiệp và phần mềm nhắn tin tức thì để tấn công các nhà thầu trong lĩnh vực hàng không vũ trụ và quốc phòng. Tuy nhiên, báo cáo này không liên kết công nghệ này với sự kiện hack của Sky Mavis.
Ngoài ra, vào tháng 4 năm nay, cơ quan an ninh Slow Mist đã phát hành cảnh báo an ninh, chỉ ra rằng tổ chức APT Bắc Triều Tiên Lazarus Group đã sử dụng một loạt ứng dụng độc hại để tiến hành các cuộc tấn công APT có định hướng vào ngành tài sản tiền điện tử. Các phương pháp cụ thể bao gồm:
Đóng vai trò khác nhau trên các mạng xã hội lớn, sử dụng triệt để nguyên lý kỹ thuật xã hội.
Kết nối với các nhà phát triển trong ngành blockchain để chuẩn bị cho các hành động tiếp theo.
Xây dựng một trang web giao dịch giả để thu hút nhân viên thuê ngoài.
Lấy được sự tin tưởng của các nhà phát triển, gửi phần mềm độc hại để thực hiện cuộc tấn công lừa đảo.
Đối với loại mối đe dọa này, Slow Mist đưa ra các khuyến nghị phòng ngừa sau:
Nhân viên trong ngành nên chú ý đến thông tin an ninh từ các nền tảng đe dọa lớn, thực hiện tự kiểm tra và nâng cao cảnh giác.
Các nhà phát triển nên thực hiện các kiểm tra an ninh cần thiết trước khi chạy chương trình thực thi.
Thiết lập cơ chế không tin cậy, có thể giảm hiệu quả rủi ro do các mối đe dọa như vậy mang lại.
Khuyến nghị người dùng máy thực tế Mac/Windows giữ phần mềm bảo mật bảo vệ thời gian thực được bật và cập nhật cơ sở dữ liệu virus kịp thời.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Axie Infinity遭 việc làm giả lừa đảo gây thiệt hại 5.4 triệu đô la Tài sản tiền điện tử
Kỹ sư Axie Infinity gặp phải tuyển dụng giả dẫn đến việc 5.4 triệu đô la Tài sản tiền điện tử bị đánh cắp
Một kỹ sư cấp cao của Axie Infinity đã vô tình gây ra một trong những cuộc tấn công hacker lớn nhất trong ngành Tài sản tiền điện tử khi nộp đơn xin việc cho một công ty sau này được xác nhận là hư cấu.
Chuỗi bên Ethereum Ronin, đặc biệt dành cho Axie Infinity, đã bị xâm nhập bởi hacker vào tháng 3 năm nay, với tổng thiệt hại lên tới 540 triệu đô la Tài sản tiền điện tử. Mặc dù chính phủ Mỹ sau đó đã liên kết sự kiện này với tổ chức hacker Triều Tiên Lazarus, nhưng các chi tiết cụ thể về cuộc tấn công vẫn chưa được công bố hoàn toàn.
Theo thông tin, sự việc này bắt nguồn từ một quảng cáo tuyển dụng giả. Nhiều nguồn tin ẩn danh cho biết, vào đầu năm nay, một người tự xưng là đại diện của một công ty đã liên lạc với nhân viên của nhà phát triển Axie Infinity, Sky Mavis, qua một nền tảng mạng xã hội nghề nghiệp, khuyến khích họ nộp đơn xin việc. Sau nhiều vòng phỏng vấn, một kỹ sư của Sky Mavis đã nhận được một đề nghị lương cao.
Sau đó, kỹ sư nhận được một thông báo nhập học giả mạo dưới định dạng PDF. Sau khi tải xuống tài liệu này, phần mềm độc hại đã thành công xâm nhập vào hệ thống Ronin. Hacker ngay lập tức đã tấn công và kiểm soát 4 trong số 9 xác thực viên trên mạng Ronin, chỉ còn một bước nữa là có thể hoàn toàn kiểm soát toàn bộ mạng.
Sky Mavis đã cho biết trong báo cáo sau sự việc phát hành vào ngày 27 tháng 4: "Nhân viên của chúng tôi liên tục phải chịu đựng các cuộc tấn công lừa đảo mạng cao cấp qua nhiều kênh xã hội, và một nhân viên không may đã bị xâm nhập. Kẻ tấn công đã tận dụng quyền truy cập đã có để thâm nhập vào cơ sở hạ tầng CNTT của công ty, từ đó giành quyền kiểm soát các nút xác thực. Nhân viên đó đã nghỉ việc."
Các trình xác thực đảm nhiệm nhiều chức năng quan trọng trong blockchain, bao gồm việc tạo các khối giao dịch và cập nhật dữ liệu oracle. Ronin sử dụng cơ chế "chứng minh quyền lực" để ký giao dịch, tập trung quyền lực vào 9 trình xác thực đáng tin cậy.
Công ty phân tích blockchain Elliptic đã giải thích trong một bài viết trên blog vào tháng 4: "Chỉ cần 5 trong số 9 người xác nhận đồng ý, thì tiền có thể được chuyển đi. Kẻ tấn công đã thành công trong việc lấy được khóa riêng của 5 người xác nhận, đủ để đánh cắp tài sản mã hóa."
Tuy nhiên, sau khi tin tặc thâm nhập vào hệ thống Ronin thông qua quảng cáo tuyển dụng giả, họ chỉ kiểm soát được 4 trong số 9 xác thực viên, và cần kiểm soát thêm 1 xác thực viên nữa để hoàn tất cuộc tấn công.
Sky Mavis đã tiết lộ trong báo cáo sau vụ việc rằng các hacker cuối cùng đã lợi dụng Axie DAO (một tổ chức hỗ trợ hệ sinh thái trò chơi) để thực hiện cuộc tấn công. Sky Mavis đã yêu cầu DAO hỗ trợ xử lý khối lượng giao dịch lớn vào tháng 11 năm 2021.
"Axie DAO ủy quyền cho Sky Mavis đại diện ký các giao dịch khác nhau. Quyền ủy quyền này đã dừng lại vào tháng 12 năm 2021, nhưng quyền truy cập vào danh sách cấp phép chưa bị thu hồi," Sky Mavis cho biết trong báo cáo. "Một khi kẻ tấn công có được quyền truy cập vào hệ thống của Sky Mavis, họ có thể nhận được chữ ký từ các trình xác thực của Axie DAO."
Sau một tháng xảy ra cuộc tấn công của hacker, Sky Mavis đã tăng số lượng nút xác thực lên 11 và cho biết mục tiêu lâu dài là có hơn 100 nút.
Sky Mavis từ chối bình luận về chi tiết cụ thể của vụ tấn công mạng. Các nền tảng mạng xã hội nghề nghiệp liên quan cũng không phản hồi yêu cầu bình luận.
Sky Mavis đã nhận được 150 triệu USD tài trợ do một nền tảng giao dịch đứng đầu vào đầu tháng 4. Số tiền này sẽ được sử dụng cùng với vốn tự có của công ty để bồi thường cho người dùng bị ảnh hưởng bởi cuộc tấn công. Công ty gần đây đã thông báo sẽ bắt đầu hoàn trả tiền cho người dùng vào ngày 28 tháng 6. Cây cầu Ethereum Ronin đã bị tạm dừng sau cuộc tấn công cũng đã được khởi động lại vào tuần trước.
Gần đây, ESET Research đã công bố một báo cáo khảo sát cho thấy tổ chức Lazarus của Triều Tiên đã lạm dụng các nền tảng mạng xã hội nghề nghiệp và phần mềm nhắn tin tức thì để tấn công các nhà thầu trong lĩnh vực hàng không vũ trụ và quốc phòng. Tuy nhiên, báo cáo này không liên kết công nghệ này với sự kiện hack của Sky Mavis.
Ngoài ra, vào tháng 4 năm nay, cơ quan an ninh Slow Mist đã phát hành cảnh báo an ninh, chỉ ra rằng tổ chức APT Bắc Triều Tiên Lazarus Group đã sử dụng một loạt ứng dụng độc hại để tiến hành các cuộc tấn công APT có định hướng vào ngành tài sản tiền điện tử. Các phương pháp cụ thể bao gồm:
Đối với loại mối đe dọa này, Slow Mist đưa ra các khuyến nghị phòng ngừa sau: