Une demande d'emploi très suivie déclenche un vaste vol de cryptoactifs.

Une candidature pour un poste d'ingénieur senior chez Axie Infinity a servi de déclencheur à l'une des plus grandes attaques de hackers dans l'industrie des Cryptoactifs. Cet ingénieur a montré un vif intérêt pour une entreprise qui s'est ensuite révélée inexistante, entraînant une série de conséquences choquantes.

La chaîne latérale Ronin d'Ethereum dédiée à Axie Infinity a été victime d'une cyberattaque en mars de cette année, entraînant une perte de 540 millions de dollars en cryptoactifs. Bien que le gouvernement américain ait par la suite associé cet incident à un groupe de hackers soutenu par un certain pays, des informations complètes sur les détails de l'attaque n'ont pas encore été rendues publiques.

Selon des rapports, l'incident a été causé par une fausse annonce de recrutement.

Deux personnes informées ont révélé qu'au début de cette année, une personne se présentant comme représentant une certaine entreprise a contacté des employés de Sky Mavis, le développeur d'Axie Infinity, via les réseaux sociaux, les encourageant à postuler pour un emploi. Après plusieurs tours d'entretiens, un ingénieur de Sky Mavis a reçu une offre d'emploi très bien rémunérée.

Ensuite, l'ingénieur a reçu une fausse lettre d'embauche présentée sous forme de document PDF. Lorsque l'ingénieur a téléchargé ce document, le logiciel malveillant a réussi à infiltrer le système de Ronin. Les hackers ont ensuite pu attaquer et contrôler quatre des neuf validateurs sur le réseau Ronin, à un pas de prendre complètement le contrôle de l'ensemble du réseau.

Sky Mavis a déclaré dans son rapport post-incident publié le 27 avril : "Nos employés continuent de subir divers types d'attaques de phishing avancées sur les réseaux sociaux, et finalement, un employé a été compromis avec succès. Cet employé ne travaille plus dans l'entreprise. Les attaquants ont utilisé les accès obtenus pour infiltrer l'infrastructure informatique de l'entreprise, ce qui leur a permis d'accéder aux nœuds de validation."

Les validateurs jouent plusieurs rôles importants dans la blockchain, y compris la création de blocs de transactions et la mise à jour des oracles de données. Ronin utilise un système de "preuve d'autorité" pour signer les transactions, concentrant le pouvoir entre les mains de neuf validateurs de confiance.

Une société d'analyse blockchain a expliqué dans un article de blog publié en avril : "Tant que cinq des neuf validateurs approuvent, les fonds peuvent être transférés. Les attaquants ont réussi à obtenir les clés privées de cinq validateurs, suffisantes pour voler des cryptoactifs."

Cependant, après avoir réussi à infiltrer le système Ronin par le biais de fausses offres d'emploi, les hackers n'ont contrôlé que quatre des neuf validateurs, ce qui signifie qu'ils avaient encore besoin d'un autre validateur pour contrôler complètement le réseau.

Sky Mavis a révélé dans son rapport que les hackers ont finalement utilisé Axie DAO (une organisation qui soutient l'écosystème de jeu) pour mener l'attaque. Sky Mavis avait demandé l'assistance de la DAO en novembre 2021 pour gérer une charge de transactions lourde.

"Axie DAO permet à Sky Mavis de signer diverses transactions en son nom. Cette pratique a été arrêtée en décembre 2021, mais l'accès à la liste des autorisations n'a pas été révoqué, " a expliqué Sky Mavis dans un article de blog. "Dès qu'un attaquant obtient l'accès au système de Sky Mavis, il peut obtenir des signatures des validateurs d'Axie DAO."

Un mois après l'attaque des hackers, Sky Mavis a augmenté le nombre de ses nœuds de validation à 11 et a déclaré que l'objectif à long terme est d'avoir plus de 100 nœuds.

Sky Mavis a refusé de commenter sur les modalités spécifiques de l'attaque par des hackers.

Sky Mavis a levé 150 millions de dollars lors d'un financement dirigé par une plateforme d'échange au début du mois d'avril. Ces fonds seront utilisés avec les fonds propres de la société pour indemniser les utilisateurs affectés par l'attaque. La société a récemment déclaré qu'elle commencerait à rembourser les utilisateurs le 28 juin. Le pont Ethereum Ronin, qui avait été soudainement interrompu après l'attaque des hackers, a également redémarré la semaine dernière.

Plus tôt dans la journée, un institut de recherche en sécurité a publié une enquête révélant qu'un groupe de hackers soutenu par un pays abuse des plateformes sociales et des logiciels de messagerie instantanée pour cibler des entrepreneurs dans le secteur de l'aérospatial et de la défense. Cependant, le rapport ne relie pas cette technique à l'incident de piratage de Sky Mavis.

De plus, en avril de cette année, une agence de sécurité a publié un avertissement de sécurité, indiquant qu'un groupe de hackers soutenu par un certain pays utilise une série d'applications malveillantes pour mener des attaques ciblées contre le secteur des Cryptoactifs. Les méthodes spécifiques incluent :

1. Les organisations de hackers exploitent pleinement les principes de l'ingénierie sociale, jouant différents rôles sur les grands réseaux sociaux.

2. Discuter avec les développeurs de l'industrie de la blockchain, se rapprocher, se préparer pour les actions futures.

3. Des groupes de hackers ont même créé leurs propres sites de trading, utilisant des prétextes tels que le recrutement de travailleurs sous-traitants pour gagner la confiance des développeurs.

4. Profiter de l'occasion pour envoyer des logiciels malveillants connexes pour des attaques de phishing

Pour ce type d'événements, l'organisme de sécurité a donné les recommandations de prévention suivantes :

1. Les professionnels de l'industrie doivent suivre de près les informations de sécurité des grandes plateformes de menaces nationales et internationales, effectuer des auto-inspections et rester vigilants.

2. Avant que les développeurs n'exécutent le programme exécutable, ils doivent effectuer les vérifications de sécurité nécessaires.

3. Établir un mécanisme de zéro confiance peut efficacement réduire les risques liés à ce type de menace.

4. Il est recommandé que les utilisateurs en fonctionnement réel maintiennent la protection en temps réel de leur logiciel de sécurité activée et mettent à jour régulièrement la dernière base de données de virus.