Bài viết này đến từ The BlockBài viết này đến từ

, tác giả gốc: Ryan Weeks, biên dịch bởi dịch giả Katie Koo của Odaily.

Đầu năm nay, tin tặc đã lừa một kỹ sư cấp cao của Axie Infinity nộp đơn xin việc tại một công ty hư cấu, cuối cùng khiến Axie Infinity mất 540 triệu đô la tiền điện tử. Dưới đây là chi tiết về vụ hack Axie Infinity được báo cáo bởi The Block.

Rất ít trải nghiệm tìm việc thú vị hơn trải nghiệm của Kỹ sư cấp cao của Axie Infinity. Mối quan tâm của anh ấy khi tham gia vào một công ty hư cấu cuối cùng đã dẫn đến một trong những vụ hack lớn nhất trong ngành công nghiệp tiền điện tử.

Vào tháng 11 năm ngoái, NFT trong trò chơi của Axie Infinity có 2,7 triệu người dùng hoạt động hàng ngày và 214 triệu đô la trong các giao dịch hàng tuần (cả hai con số này đã giảm đáng kể kể từ đó).

Vào tháng 3 năm nay, Ronin, chuỗi bên Ethereum của Axie Infinity, một trò chơi chuỗi P2E hàng đầu, đã mất số tiền điện tử trị giá 540 triệu đô la. Mặc dù chính phủ Hoa Kỳ sau đó đã liên kết vụ việc với nhóm tin tặc Lazarus của Bắc Triều Tiên, nhưng chi tiết đầy đủ về cách thức thực hiện cuộc tấn công vẫn chưa được tiết lộ. Trên thực tế, thứ đã hủy hoại Ronin chỉ là một quảng cáo việc làm giả mạo. Một kỹ sư cao cấp tại Axie Infinity đã bị lừa nộp đơn xin việc tại một công ty không thực sự tồn tại, hai người có kiến ​​​​thức về vấn đề này cho biết. Hai người nói với điều kiện giấu tên do tính nhạy cảm của vấn đề.

Đầu năm nay, những người tự xưng đại diện cho công ty không có thật đã kết nối được một nhân viên Sky Mavis của nhà phát triển Axie Infinity thông qua LinkedIn và WhatsApp, thu hút anh ta bằng một lời mời làm việc mới, theo những người quen thuộc với vấn đề này. Sau nhiều vòng phỏng vấn, một kỹ sư tại Sky Mavis đã nhận được một công việc được trả lương rất cao, các nguồn tin cho biết.

Lời đề nghị giả được gửi dưới dạng tệp PDF mà kỹ sư này đã tải xuống — cho phép Trojan xâm nhập vào hệ thống của Ronin. Kể từ đó, tin tặc đã có thể tấn công và chiếm quyền kiểm soát 4 trong số 9 trình xác thực trên mạng Ronin, chỉ để lại 1 trình xác nhận ngoài toàn quyền kiểm soát.

Sky Mavis đã phân tích vụ hack trong một bài đăng trên blog được xuất bản vào ngày 27 tháng 4, cho biết: "Nhân viên đã phải chịu các cuộc tấn công lừa đảo nâng cao trên nhiều kênh xã hội khác nhau và một nhân viên đã bị xâm nhập. Nhân viên này không còn làm việc tại Sky Mavis nữa. Những kẻ tấn công đã khai thác thành công điều này quyền truy cập để xâm nhập vào cơ sở hạ tầng CNTT của Sky Mavis và có quyền truy cập vào các nút xác thực."

Trình xác thực thực hiện các chức năng khác nhau trong chuỗi khối, bao gồm tạo khối giao dịch và cập nhật dữ liệu tiên tri. Ronin sử dụng cái mà nó gọi là hệ thống "bằng chứng về thẩm quyền" để ký các giao dịch, tập trung quyền lực vào tay chín người xác thực đáng tin cậy.

Công ty phân tích chuỗi khối Elliptic giải thích trong một bài đăng trên blog vào tháng 4: “Nếu năm trong số chín trình xác thực chấp thuận, tiền có thể được chuyển”. .”

Nhưng sau khi xâm nhập thành công vào hệ thống của Ronin thông qua các quảng cáo việc làm giả mạo, tin tặc chỉ kiểm soát được 4 trong số 9 trình xác thực — nghĩa là tin tặc cần một trình xác thực khác để giành quyền kiểm soát hệ thống Ronin.

Trong một phân tích sau khi khám nghiệm tử thi, Sky Mavis tiết lộ rằng tin tặc đã sử dụng thành công Axie DAO, một tổ chức hỗ trợ hệ sinh thái trò chơi, để hoàn thành vụ trộm. Sky Mavis đã yêu cầu Axie DAO vào tháng 11 năm 2021 để trợ giúp các vấn đề về tải giao dịch.

"Axie DAO cho phép Sky Mavis thay mặt mình ký kết nhiều giao dịch khác nhau. Bị tạm dừng vào tháng 12 năm 2021, nhưng danh sách quyền truy cập được phép vẫn chưa bị thu hồi", Sky Mavis cho biết trong một bài đăng trên blog. "Khi những kẻ tấn công giành được quyền truy cập vào hệ thống Sky Mavis, chúng có thể lấy được chữ ký từ những người xác thực Axie DAO."

Một tháng sau vụ hack, Sky Mavis đã tăng số lượng nút xác nhận của nó lên 11 và tuyên bố trong một bài đăng trên blog rằng mục tiêu dài hạn của nó là vượt quá 100.

Khi được liên lạc, Sky Mavis từ chối bình luận về cách thức thực hiện vụ hack. LinkedIn cũng nhiều lần từ chối bình luận.

Đầu ngày hôm nay, ESET Research đã công bố một cuộc điều tra cho thấy nhóm hack Lazarus của Triều Tiên đã sử dụng LinkedIn và WhatsApp đóng giả là nhà tuyển dụng để nhắm mục tiêu vào các nhà thầu quốc phòng và hàng không vũ trụ. Nhưng báo cáo không liên kết công nghệ với vụ hack Sky Mavis.

Vào đầu tháng 4, Sky Mavis đã huy động được 150 triệu đô la trong vòng cấp vốn do Binance dẫn đầu. Số tiền thu được sẽ được sử dụng cùng với quỹ dự phòng của công ty để đền bù cho những người dùng bị ảnh hưởng bởi lỗi này. Axie Infinity gần đây đã tuyên bố rằng họ sẽ bắt đầu trả lại tiền của người dùng cho người dùng vào ngày 28 tháng 6. Cầu Ethereum của Ronin, vốn bị gián đoạn đột ngột khi bị hack, cũng đã được khởi động lại vào tuần trước.