이 기사는 The Block이 기사는
, 원저자: Ryan Weeks, Odaily 번역가 Katie Koo가 편집.
올해 초 해커들은 Axie Infinity의 수석 엔지니어를 속여 가상 회사에 지원하도록 했고 결국 Axie Infinity는 5억 4천만 달러의 암호화폐를 잃었습니다. 다음은 The Block에서 보고한 Axie Infinity 해킹에 대한 세부 정보입니다.
Axie Infinity 수석 엔지니어보다 더 자극적인 구직 경험은 거의 없습니다. 가상의 회사에 합류하는 것에 대한 그의 관심은 결국 암호화 업계에서 가장 큰 해킹 중 하나로 이어졌습니다.
작년 11월, Axie Infinity의 게임 내 NFT는 270만 명의 일일 활성 사용자와 2억 1,400만 달러의 주간 거래를 기록했습니다(이후 두 수치 모두 크게 감소했습니다).
올해 3월, 선도적인 P2E 체인 게임인 Axie Infinity의 이더리움 사이드 체인인 Ronin은 5억 4천만 달러 상당의 암호화폐를 잃었습니다. 미국 정부는 나중에 이 사건을 북한의 해킹 그룹인 라자루스(Lazarus)와 연관시켰지만 공격이 어떻게 수행되었는지에 대한 자세한 내용은 공개되지 않았습니다. 사실 로닌을 망친 건 가짜 구인광고에 불과했다. Axie Infinity의 수석 엔지니어가 실제로 존재하지 않는 회사에 지원하도록 속임을 당했다고 이 문제에 대해 잘 알고 있는 두 사람이 말했습니다. 두 사람은 사안의 민감성을 고려해 익명을 전제로 대화를 나눴다.
올해 초 이 가짜 회사를 대표한다고 주장하는 사람들은 Axie Infinity 개발자 Sky Mavis의 직원을 LinkedIn과 WhatsApp을 통해 연결하여 새로운 일자리 제안으로 그를 유인했다고 이 문제에 정통한 사람들이 말했습니다. 소식통에 따르면 Sky Mavis의 한 엔지니어는 여러 차례의 인터뷰 끝에 매우 보수가 좋은 직업을 얻었다고 합니다.
가짜 제안은 엔지니어가 다운로드한 PDF 파일로 전송되어 트로이 목마가 Ronin의 시스템에 침투할 수 있도록 했습니다. 그 이후로 해커는 Ronin 네트워크의 9개 검증자 중 4개를 공격하고 탈취할 수 있었으며 단 1개의 검증자만 완전한 통제권을 벗어났습니다.
Sky Mavis는 4월 27일 게시한 블로그 게시물에서 "직원들이 다양한 소셜 채널에서 고급 피싱 공격을 받았으며 한 직원이 해킹당했습니다. 해당 직원은 더 이상 Sky Mavis에서 근무하지 않습니다. 공격자는 이를 성공적으로 악용했습니다. Sky Mavis의 IT 인프라에 침투하여 유효성 검사기 노드에 대한 액세스 권한을 얻었습니다."
유효성 검사기는 트랜잭션 블록 생성 및 데이터 오라클 업데이트를 포함하여 블록체인에서 다양한 기능을 수행합니다. Ronin은 "권한 증명" 시스템이라고 하는 것을 사용하여 거래에 서명하고 9명의 신뢰할 수 있는 유효성 검사기의 손에 권한을 집중시킵니다.
블록체인 분석업체 엘립틱(Elliptic)은 지난 4월 블로그 게시물에서 "검증인 9명 중 5명이 승인하면 자금을 이체할 수 있다"고 설명했다. .”
그러나 가짜 구인 광고를 통해 로닌의 시스템에 성공적으로 침투한 후 해커는 9개의 유효성 검사기 중 4개만 제어했습니다. 즉, 해커가 로닌 시스템을 제어하려면 다른 사람이 필요했습니다.
사후 분석에서 Sky Mavis는 해커들이 게임 생태계를 지원하는 조직인 Axie DAO를 성공적으로 사용하여 절도를 완료했다고 밝혔습니다. Sky Mavis는 2021년 11월에 Axie DAO에 트랜잭션 부하 문제에 대한 도움을 요청했습니다.
Sky Mavis는 블로그 게시물에서 "Axie DAO는 Sky Mavis가 대신하여 다양한 트랜잭션에 서명할 수 있도록 허용합니다. 2021년 12월에 중단되었지만 허용된 액세스 목록은 취소되지 않았습니다. "공격자가 Sky Mavis 시스템에 액세스한 후 Axie DAO 검증자로부터 서명을 얻을 수 있었습니다."
해킹 한 달 후 Sky Mavis는 유효성 검사기 노드 수를 11개로 늘렸고 블로그 게시물에서 장기 목표는 100개를 초과하는 것이라고 밝혔습니다.
연락을 받았을 때 Sky Mavis는 해킹이 어떻게 수행되었는지에 대한 언급을 거부했습니다. 링크드인도 반복적으로 논평을 거부했다.
오늘 일찍 ESET Research는 북한의 해킹 그룹 Lazarus가 LinkedIn과 WhatsApp을 채용 담당자로 가장하여 항공 우주 및 방위 계약자를 대상으로 한 조사를 발표했습니다. 그러나 이 보고서는 이 기술을 Sky Mavis 해킹과 연결하지 않습니다.
4월 초 Sky Mavis는 Binance가 주도하는 자금 조달 라운드에서 1억 5천만 달러를 모금했습니다. 버그로 인해 영향을 받은 사용자를 보상하기 위해 수익금은 회사의 여유 자금과 함께 사용됩니다. Axie Infinity는 최근 6월 28일부터 사용자 자금을 사용자에게 반환하기 시작할 것이라고 밝혔습니다. 해킹당해 급작스럽게 중단됐던 로닌의 이더리움 브리지도 지난주 재가동됐다.
