La solicitud de empleo que ha llamado la atención provoca un gran robo de Activos Cripto

Una solicitud de trabajo de un ingeniero senior de Axie Infinity se convirtió en el detonante del mayor ataque hacker en la industria de Activos Cripto. Este ingeniero mostró un gran interés por una empresa que posteriormente se confirmó que no existía, lo que desencadenó una serie de consecuencias impactantes.

La cadena lateral de Ethereum Ronin, diseñada específicamente para Axie Infinity, sufrió una invasión de hackers en marzo de este año, con pérdidas de hasta 540 millones de dólares en Activos Cripto. A pesar de que el gobierno de Estados Unidos posteriormente vinculó este evento con un grupo de hackers apoyado por un país, la información completa sobre los detalles específicos de la implementación del ataque aún no se ha hecho pública.

Según informes, el origen de este incidente fue un anuncio de reclutamiento falso.

Dos personas informadas revelaron que, a principios de este año, una persona que afirmaba representar a cierta empresa contactó a empleados de Sky Mavis, el desarrollador de Axie Infinity, a través de una plataforma social, animándolos a solicitar trabajo. Después de varias rondas de entrevistas, un ingeniero de Sky Mavis recibió una oferta de trabajo con un salario atractivo.

Luego, el ingeniero recibió una carta con una oferta de trabajo falsificada presentada en formato PDF. Cuando el ingeniero descargó el documento, el software malicioso logró infiltrarse en el sistema de Ronin. Los hackers luego pudieron atacar y controlar cuatro de los nueve validadores en la red de Ronin, a solo un paso de tomar el control total de toda la red.

Sky Mavis en el informe posterior publicado el 27 de abril declaró: "Nuestros empleados continúan siendo víctimas de ataques de phishing avanzados en varios canales sociales, y finalmente un empleado fue comprometido con éxito. Este empleado ya no trabaja en la empresa. Los atacantes utilizaron el acceso obtenido para infiltrarse en la infraestructura de TI de la empresa, y así obtener acceso a los nodos de validación."

Los validadores desempeñan múltiples funciones importantes en la blockchain, incluyendo la creación de bloques de transacciones y la actualización de oráculos de datos. Ronin adopta un sistema de "prueba de autoridad" para firmar transacciones, concentrando el poder en manos de nueve validadores de confianza.

Una empresa de análisis de blockchain explicó en un artículo de blog publicado en abril: "Siempre que cinco de los nueve validadores aprueben, los fondos pueden ser transferidos. El atacante logró obtener las claves privadas de cinco validadores, lo que es suficiente para robar los Activos Cripto."

Sin embargo, después de que los hackers penetraron exitosamente el sistema Ronin a través de anuncios de empleo falsos, solo controlaron cuatro de los nueve validadores, lo que significa que aún necesitaban otro validador para controlar completamente la red.

Sky Mavis reveló en su informe que los hackers finalmente utilizaron Axie DAO (una organización que apoya el ecosistema de juegos) para llevar a cabo el ataque. Sky Mavis había solicitado la asistencia de DAO en noviembre de 2021 para manejar la pesada carga de transacciones.

"Axie DAO permite a Sky Mavis firmar varias transacciones en su nombre. Esta práctica se detuvo en diciembre de 2021, pero no se revocó el acceso a la lista de permisos," explicó Sky Mavis en un artículo de blog. "Una vez que un atacante obtiene acceso al sistema de Sky Mavis, puede obtener firmas de los validadores de Axie DAO."

Un mes después del ataque de los hackers, Sky Mavis aumentó su número de nodos de validación a 11 y afirmó que su objetivo a largo plazo es tener más de 100 nodos.

Sky Mavis se negó a comentar sobre los detalles específicos de la implementación del ataque de hackers.

Sky Mavis recaudó 150 millones de dólares en una financiación liderada por una plataforma de intercambio a principios de abril. Estos fondos se utilizarán junto con los recursos propios de la empresa para compensar a los usuarios afectados por el ataque. La empresa anunció recientemente que comenzará a devolver el dinero a los usuarios el 28 de junio. El puente de Ethereum de Ronin, que se detuvo repentinamente después del ataque de los hackers, también se reinició la semana pasada.

Esta mañana, una agencia de investigación de seguridad publicó un informe que revela que un grupo de hackers apoyado por un país está abusando de plataformas sociales y software de mensajería instantánea, atacando a contratistas de aeroespacial y defensa. Sin embargo, el informe no vincula esta técnica con el incidente de hackeo de Sky Mavis.

Además, en abril de este año, una agencia de seguridad emitió una advertencia de seguridad, señalando que un grupo de hackers apoyado por cierto país estaba llevando a cabo ataques dirigidos contra la industria de Activos Cripto utilizando una serie de aplicaciones maliciosas. Las formas específicas incluyen:

1. Las organizaciones de hackers aprovechan al máximo los principios de la ingeniería social, desempeñando diferentes roles en las principales redes sociales.

2. Hablar con desarrolladores de la industria de blockchain, acercarse, y prepararse para acciones posteriores.

3. Los grupos de hackers incluso establecen sus propios sitios de intercambio, utilizando pretextos como la contratación de empleados subcontratados, para ganar la confianza de los desarrolladores.

4. Aprovechar la oportunidad para enviar software malicioso relacionado para ataques de phishing

Para este tipo de eventos, la agencia de seguridad ofrece las siguientes recomendaciones de prevención:

1. Los profesionales de la industria deben seguir de cerca la inteligencia de seguridad de las principales plataformas de amenazas tanto nacionales como internacionales, realizar autoevaluaciones y aumentar la alerta.

2. Antes de que los desarrolladores ejecuten el programa, deben realizar las comprobaciones de seguridad necesarias.

3. Establecer un mecanismo de cero confianza puede reducir eficazmente el riesgo asociado con este tipo de amenazas.

4. Se recomienda que los usuarios que operan en un entorno real mantengan habilitada la protección en tiempo real del software de seguridad y actualicen a tiempo la última base de datos de virus.