この記事の由来は The Blockこの記事の由来は
、原著者:ライアン・ウィークス、Odaily翻訳者のKatie Kooによって編集されました。
今年初め、ハッカーがアクシー・インフィニティの上級エンジニアを騙して架空の会社に応募させ、最終的にアクシー・インフィニティは仮想通貨で5億4000万ドルの損失を被った。 The Blockが報じたAxie Infinityハッキングの詳細は以下の通り。
Axie Infinity シニア エンジニアほど刺激的な就職活動の経験はほとんどありません。架空の会社に入社したいという彼の興味は、最終的に暗号通貨業界で最大規模のハッキングの 1 つにつながりました。
昨年11月、Axie Infinityのゲーム内NFTには毎日270万人のアクティブユーザーがいて、週間取引額は2億1,400万ドルでした(その後、両方の数字は大幅に減少しました)。
今年3月、大手P2EチェーンゲームであるAxie InfinityのイーサリアムサイドチェーンであるRoninは、5億4000万ドル相当の仮想通貨を失った。米国政府はその後、この事件を北朝鮮のハッカー集団「ラザラス」と関連付けたが、攻撃がどのように実行されたかの完全な詳細は明らかにされていない。実際、浪人を破滅させたのは偽の求人広告でした。アクシー・インフィニティの上級エンジニアが騙されて、実際には存在しない会社の仕事に応募させられたと、この件に詳しい関係者2人が明らかにした。 2人は問題の機密性を理由に匿名を条件に語った。
事情に詳しい関係者によると、今年初め、偽会社の代表を名乗る人々がリンクトインとワッツアップを通じてアクシー・インフィニティの開発者スカイ・メイビスの従業員をひっかけ、新たな仕事のオファーを持ちかけたという。関係者によると、スカイ・メイビス社のエンジニアは複数回の面接を経て、非常に高収入の仕事に就いたという。
偽のオファーは PDF ファイルとして送信され、エンジニアはそれをダウンロードし、トロイの木馬が Ronin のシステムに侵入することを可能にしました。それ以来、ハッカーは Ronin ネットワーク上の 9 つのバリデーターのうち 4 つを攻撃して乗っ取り、完全に制御できなくなったのは 1 つのバリデーターだけになりました。
Sky Mavis は、4 月 27 日に公開されたブログ投稿でこのハッキングを分析し、「従業員がさまざまなソーシャル チャネルで高度なフィッシング攻撃にさらされ、従業員 1 名が侵害されました。その従業員はもう Sky Mavis で働いていません。攻撃者はこれを悪用することに成功しました」と述べています。 Sky Mavis の IT インフラストラクチャに侵入し、検証ノードへのアクセスを獲得しました。」
バリデーターは、トランザクションのブロックの作成やデータオラクルの更新など、ブロックチェーン内でさまざまな機能を実行します。 Ronin は、「権限証明」システムと呼ばれるものを使用してトランザクションに署名し、9 人の信頼できる検証者の手に権限を集中させます。
ブロックチェーン分析会社エリプティックは4月のブログ投稿で、「9人のバリデーターのうち5人が承認すれば資金を送金できる。攻撃者は暗号資産を盗むのに十分な5人のバリデーターの秘密暗号鍵を取得することに成功した」と説明した。 」
しかし、偽の求人広告を介して Ronin のシステムへの侵入に成功した後、ハッカーは 9 つのバリデーターのうち 4 つだけを制御しました。つまり、ハッカーが Ronin システムを制御するには別のバリデーターが必要でした。
Sky Mavis は事後分析で、ハッカーがゲーム エコシステムをサポートする組織である Axie DAO を利用して窃盗を完了したことを明らかにしました。 Sky Mavis は、2021 年 11 月にトランザクション負荷の問題を解決するために Axie DAO をリクエストしていました。
「Axie DAOは、Sky Mavisが同社に代わってさまざまなトランザクションに署名することを許可している。2021年12月に停止されたが、許可されたアクセスリストは取り消されていない」とSky Mavisはブログ投稿で述べた。 「攻撃者が Sky Mavis システムにアクセスすると、Axie DAO バリデーターから署名を取得することができました。」
ハッキングから 1 か月後、Sky Mavis はバリデーター ノードの数を 11 に増やし、長期的な目標は 100 を超えることであるとブログ投稿で述べました。
スカイ・メイビスは問い合わせに対し、ハッキングがどのように行われたかについてコメントを拒否した。 LinkedInも繰り返しコメントを拒否した。
本日初め、ESET Researchは、北朝鮮のハッカー集団Lazarusが航空宇宙・防衛請負業者を標的にするために求人業者を装ってLinkedInとWhatsAppを利用したことを示す調査結果を発表した。しかし、報告書はこの技術をスカイ・メイビスのハッキングと結び付けていない。
4月初旬、スカイ・メイビスはバイナンス主導の資金調達ラウンドで1億5000万ドルを調達した。収益は同社の予備資金と合わせて、バグの影響を受けたユーザーへの補償に使われる予定だ。 Axie Infinityは最近、6月28日にユーザー資金のユーザーへの返還を開始すると発表した。ハッキングされて突然中断されたRoninのイーサリアムブリッジも先週再開された。
