Як фальшива пропозиція про роботу дозволила хакерам з Північної Кореї вкрасти $540 млн з криптогри Axie Infinity
Рідко коли заявка на роботу мала більш ефектний результат, ніж у випадку інженера компанії Sky Mavis, розробника криптогри Axie Infinity, чия зацікавленість приєднатися до, як виявилося фіктивної компанії, призвела до одного з найбільших зламів у криптосекторі.
Ronin, сайдчейн, пов’язаний з Ethereum, що лежить в основі гри Axie Infinity для її монетизації, втратив $540 мільйонів у криптовалюті через експлойт у березні. Пізніше уряд США пов’язав цей інцидент із хакерською групою Північної Кореї Lazarus, але повні подробиці того, як було здійснено атаку, не розголошуються.
Видання The Block розкрило, що причиною зламу Ronin стала соціальна інженерія та фальшиве оголошення про роботу.
За словами двох осіб, які безпосередньо знайомі з цією справою, та які попросили про анонімність через делікатний характер інциденту, сініор-інженера Axie Infinity обдурили, переконавши подати заявку на роботу в компанії, якої насправді не існувало.
Axie Infinity був величезним проєктом. На піку свого розвитку робітники у Південно-Східної Азії навіть могли заробляти на життя за допомогою гри «грай, щоб заробити». У листопаді минулого року він міг похвалитися 2,7 мільйонами щоденних активних користувачів і $214 мільйонами щотижневого обсягу торгів своїми внутрішньоігровими NFT, хоча обидві цифри з того часу різко впали.
Раніше цього року до співробітників компанії-розробника Axie Infinity Sky Mavis звернулися особи, які, як виявилося, представляли фальшиву компанію, і заохочували подати своє резюме на роботу, як стверджують люди, знайомі з цим питанням. Одне джерело додало, що підходи були зроблені через професійний сайт для пошуку роботи та кандидатів – LinkedIn.
Це спрацювало, після кількох раундів співбесід, інженеру Sky Mavis запропонували роботу з надзвичайно щедрим компенсаційним пакетом.
Фальшива «пропозиція» була доставлена у вигляді зараженого шпигунською програмою PDF-документа, який інженер завантажив на свій робочий комп’ютер, що дозволило зловмисникам проникнути в системи Ronin. Звідти хакери змогли атакувати та повністю заволодіти чотирма з дев’яти валідаторів у мережі Ronin, для повного контролю їм залишалося захопити ще один.
У дописі в блозі про злом, опублікованому 27 квітня, Sky Mavis заявили: «Співробітники піддаються постійним розширеним фішинговим атакам на різні соціальні канали, і один співробітник був скомпрометований. Цей працівник більше не працює в Sky Mavis. Зловмисникам вдалося використати цей доступ, щоб проникнути в ІТ-інфраструктуру Sky Mavis і отримати доступ до вузлів валідатора».
Валідатори виконують різні функції в блокчейнах, включаючи створення блоків транзакцій і оновлення «оракулів даних». Ronin використовує так звану систему «підтвердження повноважень» для підписання угод, зосереджуючи владу в руках дев’яти довірених валідаторів.
У квітневій публікації в блозі компанії Elliptic, присвяченій цьому інциденту, пояснюється: «Кошти можуть бути переміщені, якщо це схвалять п’ять із дев’яти валідаторів. Зловмиснику вдалося заволодіти приватними криптографічними ключами, що належать п’яти валідаторам, чого було достатньо для викрадення криптоактивів».
Але після успішного проникнення в системи Ronin через фальшиве оголошення про роботу хакери мали повний контроль лише над чотирма з дев’яти валідаторів, тобто їм потрібен був ще один.
У публікації Sky Mavis показала, що хакерам вдалося використати Axie DAO (децентралізовану автономну організацію) — групу, створену для підтримки ігрової екосистеми — для завершення пограбування. У листопаді 2021 року Sky Mavis звернулася до DAO з проханням допомогти впоратися з великим навантаженням на транзакції.
«Axie DAO внесла Sky Mavis у білий список для підписання різних транзакцій від її імені. Це було припинено в грудні 2021 року, але доступ до білого списку не було відкликано», — йдеться в повідомленні Sky Mavis у блозі. «Коли зловмисник отримав доступ до систем Sky Mavis, він міг отримати підпис від валідатора Axie DAO».
Через місяць після злому Sky Mavis збільшила кількість вузлів валідації до 11 і заявила в дописі в блозі, що її довгострокова мета — мати понад 100.
Sky Mavis відмовився коментувати, як було здійснено злом. LinkedIn також не відповів на численні запити про коментарі.
Дослідження ESET показало, що хакери Lazarus з Північної Кореї зловживали LinkedIn і WhatsApp, видаючи себе за хедхантерів, які шукали спеціалістів для аерокосмічних і оборонних підрядників. Але звіт не прив’язував цю техніку до злому Sky Mavis.
Sky Mavis залучила $150 мільйонів у раунді фінансування під керівництвом Binance на початку квітня. Отримані кошти будуть використані разом із власними коштами компанії для відшкодування користувачам, які постраждали від експлойту. Нещодавно компанія заявила, що почала повертати кошти користувачам.