История о хакерах из Северной Кореи и $540 миллионах

История о хакерах из Северной Кореи и $540 миллионах - Украина, Польша, Германия.

Как фальшивое предложение о работе позволило хакерам из Северной Кореи украсть $540 млн из криптогры Axie Infinity.

Редко когда заявка на работу имела более эффектный результат, чем в случае инженера компании Sky Mavis, разработчика криптогры Axie Infinity, чья заинтересованность присоединиться к, как оказалось фиктивной компании, привела к одному из самых больших взломов в криптосекторе.

Ronin, сайдчейн, связанный с Ethereum, лежащим в основе игры Axie Infinity для ее монетизации, потерял $540 миллионов в криптовалюте из-за эксплойта в марте. Позже правительство США связало этот инцидент с хакерской группой Северной Кореи Lazarus, но полные подробности того, как была совершена атака, не разглашаются.

Издание The Block раскрыло, что причиной излома Ronin стала социальная инженерия и фальшивое объявление о работе.

По словам двух лиц, непосредственно знакомых с этим делом и попросивших об анонимности из-за деликатного характера инцидента, синиор-инженера Axie Infinity обманули, убедив подать заявку на работу в компании, которой на самом деле не существовало.

Axie Infinity являлся огромным проектом. На пике своего развития рабочие в Юго-Восточной Азии даже могли зарабатывать на жизнь с помощью игры «играй, чтобы заработать». В ноябре прошлого года он мог похвастаться 2,7 миллионами ежедневных активных пользователей и 214 миллионами долларов еженедельного объема торгов своими внутриигровыми NFT, хотя обе цифры с тех пор резко упали.

Ранее в этом году к сотрудникам компании-разработчика Axie Infinity Sky Mavis обратились лица, которые, как оказалось, представляли фальшивую компанию, и поощряли подать свое резюме на работу, как утверждают люди, знакомые с этим вопросом. Один источник добавил, что подходы были сделаны через профессиональный сайт для поиска работы и кандидатов – LinkedIn.

Это сработало, после нескольких раундов собеседований, инженеру Sky Mavis предложили работу с очень щедрым компенсационным пакетом.

Фальшивое предложение было доставлено в виде зараженного шпионской программой PDF-документа, который инженер загрузил на свой рабочий компьютер, что позволило злоумышленникам проникнуть в системы Ronin. Оттуда хакеры смогли атаковать и полностью овладеть четырьмя из девяти валидаторов в сети Ronin, для полного контроля им оставалось захватить еще один.

В  сообщении в блоге о взломе, опубликованном 27 апреля, Sky Mavis заявили: «Сотрудники подвергаются постоянным расширенным фишинговым атакам на разные социальные каналы, и один сотрудник был скомпрометирован. Этот сотрудник больше не работает в Sky Mavis. Злоумышленникам удалось использовать этот доступ, чтобы проникнуть в ИТ-инфраструктуру Sky Mavis и получить доступ к узлам валидатора».

Валидаторы выполняют разные функции в блокчейнах, включая создание блоков транзакций и обновление «оракулов данных». Ronin использует так называемую систему подтверждения полномочий для подписания соглашений, сосредотачивая власть в руках девяти доверенных валидаторов.

В апрельской публикации в блоге компании Elliptic, посвященной этому инциденту, объясняется: «Средства могут быть перемещены, если это одобрят пять из девяти валидаторов. Злоумышленнику удалось завладеть частными криптографическими ключами, принадлежащими пяти валидаторам, чего было достаточно для угона криптоактивов».

Но после успешного проникновения в системы Ronin через фальшивое объявление о работе хакеры имели полный контроль только над четырьмя из девяти валидаторов, то есть им нужен был еще один.

В публикации Sky Mavis показала, что хакерам удалось использовать Axie DAO (децентрализованную автономную организацию) – группу, созданную для поддержки игровой экосистемы – для завершения ограбления. В ноябре 2021 года Sky Mavis обратилась в DAO с просьбой помочь справиться с большой нагрузкой на транзакции.

«Axie DAO внесла Sky Mavis в белый список для подписания разных транзакций от ее имени. Это было приостановлено в декабре 2021 года, но доступ к белому списку не был отозван», – говорится в сообщении Sky Mavis в блоге. «Когда злоумышленник получил доступ к системам Sky Mavis, он мог получить подпись от валидатора Axie DAO».

Через месяц после взлома Sky Mavis увеличила количество узлов валидации до 11 и заявила в сообщении в блоге, что ее долгосрочная цель – иметь более 100.

Sky Mavis отказался комментировать, как было совершено взлом. LinkedIn также не ответил на бессчетные запросы о комментариях.

Исследование ESET показало, что хакеры Lazarus из Северной Кореи злоупотребляли LinkedIn и WhatsApp, выдавая себя за хедхантеров, которые искали специалистов для аэрокосмических и оборонительных подрядчиков. Но отчет не привязывал эту технику ко взлому Sky Mavis.

Sky Mavis привлекла $150 миллионов в раунде финансирования под руководством Binance в начале апреля. Вырученные средства будут использованы вместе с собственными средствами компании для возмещения пользователям, пострадавшим от эксплойта. Недавно компания заявила, что начала возвращать деньги пользователям.

Tags: