Инженер компании попался на обман, ответил на вакансию в несуществующей компании и получил оффер с вредоносным ПО.
В марте 2022 года хакеры атаковали сайдчейн Ronin, который используется в игре Axie Infinity, и украли около 625 миллионов долларов в криптовалюте. Правительство США позже связало инцидент с северокорейской хакерской группой Lazarus, но не сообщило о деталях расследования.
По данным анонимных источников The Block, злоумышленники смогли украсть деньги, заразив вирусом компьютер одного из инженеров. Вредоносное ПО оказалось внутри оффера от фиктивной компании.
Предложения о работе рассылали сотрудникам Sky Mavis (разработчик Axie Infinity) от имени фейковой фирмы через LinkedIn. Один из инженеров заинтересовался предложением, и после нескольких раундов собеседований ему предложили работу с «чрезвычайно щедрым компенсационным пакетом».
Фальшивый оффер отправили в виде PDF-документа. После того, как инженер его скачал и открыл, шпионское ПО проникло в системы Ronin. Оттуда хакеры смогли атаковать и захватить четыре из девяти валидаторов, защищавших сеть.
Валидаторы выполняют различные функции в блокчейнах, включая создание блоков транзакций и обновление оракулов данных. Ronin использует так называемую систему «доказательства полномочий» для подписания транзакций, концентрируя власть в руках девяти доверенных лиц.
Ещё в апрельском анализе Sky Mavis отмечала, что её команда постоянно подвергается продвинутым фишинговым атакам в соцсетях, и признавала, что одного из сотрудников всё же скомпрометировали. Однако компания не раскрывала подробностей и не упоминала, как именно кто-то мог повестись на уловки мошенников.
Cредства из Ronin могут вывести, если пять из девяти валидаторов это одобрят, рассказывала компания Elliptic, анализирующая блокчейны, Хакерам завладели закрытыми криптографическими ключами, принадлежащими пяти валидаторам, чего было достаточно для кражи активов.
Однако изначально хакеры имели контроль лишь над четырьмя валидаторами — доступ к пятому они получили через Axie DAO, децентрализованную автономную организацию, созданную для поддержки игровой экосистемы.
Axie DAO включила Sky Mavis в белый список для подписания различных транзакций от её имени. Это было прекращено в декабре 2021 года, но доступ к белому списку не был отозван. Как только злоумышленник получил доступ к системам Sky Mavis, он смог получить подпись от валидатора Axie DAO.
Sky Mavis
Axie Infinity является одной из самых успешных криптоигр: в ноябре 2021 года у неё было 2,7 миллионов активных пользователей ежедневно, еженедельный объем торгов внутриигровыми NFT доходил до 214 миллионов долларов. На пике популярности тысячи пользователей (в основном жители Юго-Восточной Азии) даже зарабатывали себе на жизнь с помощью игры.
После мартовского взлома компания-разработчик Sky Mavis привлекла 150 миллионов долларов на возмещение ущерба пользователям, пострадавшим от эксплойта. Кроме того, Sky Mavis увеличила количество узлов-валидаторов до 11 и заявила, что долгосрочная цель — иметь более ста валидаторов.
