Axie Infinity工程師遭遇虛假招聘導致5.4億美元加密貨幣被盜

一位Axie Infinity的高級工程師在申請一家後來被證實是虛構的公司時，不經意間引發了加密行業最大規模的黑客攻擊之一。

Axie Infinity專屬的以太坊側鏈Ronin在今年3月遭遇黑客入侵，損失高達5.4億美元的加密貨幣。盡管美國政府後來將此事件與朝鮮黑客組織Lazarus聯繫在一起，但具體的攻擊細節尚未完全公開。

據悉，這起事件源於一則虛假的招聘廣告。多位匿名知情人士透露，今年早些時候，一名自稱代表某公司的人通過職業社交平台聯繫了Axie Infinity開發商Sky Mavis的員工，鼓勵他們應聘。經過多輪面試，一名Sky Mavis的工程師獲得了一份高薪offer。

隨後，該工程師收到了一份僞造的PDF格式錄取通知書。在下載這份文件後，黑客軟件成功滲透到Ronin系統中。黑客隨即攻陷並控制了Ronin網路上9個驗證器中的4個，僅差一步就能完全掌控整個網路。

Sky Mavis在4月27日發布的事後報告中表示："我們的員工持續遭受各種社交渠道的高級網絡釣魚攻擊，其中一名員工不幸被入侵。攻擊者利用獲取的訪問權限滲透了公司的IT基礎設施，進而獲得了驗證節點的控制權。該員工已經離職。"

驗證器在區塊鏈中承擔多項重要功能，包括創建交易塊和更新數據預言機。Ronin採用"權威證明"機制來簽署交易，將權力集中在9個受信任的驗證者手中。

區塊鏈分析公司Elliptic在4月的一篇博客文章中解釋道："只要9個驗證者中有5個批準，資金就可以被轉出。攻擊者成功獲取了5個驗證者的私鑰，足以竊取加密資產。"

然而，黑客通過虛假招聘廣告成功滲透Ronin系統後，僅控制了9個驗證者中的4個，還需要再控制一個驗證者才能完成攻擊。

Sky Mavis在事後報告中披露，黑客最終利用Axie DAO（一個支持遊戲生態系統的組織）完成了攻擊。Sky Mavis曾在2021年11月請求DAO協助處理繁重的交易負載。

"Axie DAO授權Sky Mavis代表其簽署各種交易。這一授權在2021年12月已經停止，但許可名單訪問權限未被撤銷，"Sky Mavis在報告中說。"一旦攻擊者獲取Sky Mavis系統訪問權，就能從Axie DAO驗證器獲得籤名。"

黑客攻擊發生一個月後，Sky Mavis將驗證節點數量增加到11個，並表示長期目標是擁有100多個節點。

Sky Mavis拒絕就黑客攻擊的具體細節發表評論。相關職業社交平台也未回應相關置評請求。

Sky Mavis在4月初獲得了由某交易平台牽頭的1.5億美元融資。這筆資金將與公司自有資金一起用於補償受攻擊影響的用戶。公司近期表示將於6月28日開始向用戶返還資金。在黑客攻擊後暫停的Ronin以太坊橋也於上周重新啓動。

近日，ESET Research發布了一項調查報告，顯示朝鮮的Lazarus組織濫用職業社交平台和即時通訊軟件，針對航空航天和國防承包商進行攻擊。不過該報告並未將這種技術與Sky Mavis黑客事件聯繫起來。

此外，今年4月，安全機構慢霧發布安全提醒，指出朝鮮APT組織Lazarus Group使用一系列惡意應用程序對數字貨幣行業進行定向APT攻擊。具體手法包括：

1. 在各大社交媒體中扮演不同角色，充分運用社會工程學原理。
2. 與區塊鏈行業開發人員建立聯繫，爲後續行動做準備。
3. 建立僞裝的交易網站，以招募外包員工等爲幌子。
4. 獲取開發人員信任後，發送惡意軟件進行釣魚攻擊。

針對這類威脅，慢霧給出以下防範建議：

1. 行業從業人員應密切關注各大威脅平台的安全情報，做好自我排查，提高警惕。
2. 開發人員在運行可執行程序前，應進行必要的安全檢查。
3. 建立零信任機制，可有效降低此類威脅帶來的風險。
4. 建議Mac/Windows實機用戶保持安全軟件實時防護開啓，並及時更新病毒庫。