A aplicação para emprego que atraiu a atenção levou a um grande roubo de Ativos de criptografia

Uma candidatura a emprego de um engenheiro sênior da Axie Infinity tornou-se o estopim do maior ataque hacker da indústria de ativos de criptografia. Este engenheiro demonstrou um grande interesse por uma empresa que mais tarde se confirmou não existir, levando a uma série de consequências chocantes.

A sidechain Ethereum dedicada ao Axie Infinity, Ronin, sofreu uma invasão de hackers em março deste ano, resultando em perdas de até 540 milhões de dólares em ativos de criptografia. Embora o governo dos Estados Unidos tenha posteriormente associado este incidente a um grupo de hackers apoiado por um determinado país, as informações completas sobre os detalhes específicos da implementação do ataque ainda não foram divulgadas.

De acordo com relatos, a causa deste incidente foi um anúncio de recrutamento falso.

Duas fontes informadas revelaram que, no início deste ano, uma pessoa que se dizia representar uma determinada empresa contactou funcionários da Sky Mavis, desenvolvedora do Axie Infinity, através de uma plataforma social, incentivando-os a se candidatarem a empregos. Após várias entrevistas, um engenheiro da Sky Mavis recebeu uma oferta de emprego com um salário elevado.

Em seguida, o engenheiro recebeu uma notificação de contratação falsa apresentada em formato de documento PDF. Quando o engenheiro baixou o documento, o software de hacker conseguiu penetrar no sistema do Ronin. Os hackers então conseguiram atacar e controlar quatro dos nove validadores na rede Ronin, ficando a um passo de ter controle total sobre toda a rede.

A Sky Mavis afirmou no relatório posterior publicado em 27 de abril: "Os nossos funcionários continuam a sofrer vários ataques de phishing avançados através de canais sociais, e, eventualmente, um funcionário foi invadido com sucesso. Esse funcionário já não está na empresa. Os atacantes utilizaram o acesso obtido para penetrar na infraestrutura de TI da empresa, conseguindo assim acesso aos nós de validação."

Os validadores desempenham várias funções importantes na blockchain, incluindo a criação de blocos de transação e a atualização de oráculos de dados. A Ronin utiliza um sistema de "prova de autoridade" para assinar transações, concentrando o poder em nove validadores confiáveis.

Uma empresa de análise de blockchain publicou um artigo no blog em abril explicando: "Desde que cinco dos nove validadores aprovem, os fundos podem ser transferidos. O atacante conseguiu obter as chaves privadas de cinco validadores, o que é suficiente para roubar ativos de criptografia."

No entanto, após os hackers infiltrarem com sucesso o sistema Ronin através de anúncios de emprego falsos, conseguiram controlar apenas quatro dos nove validadores, o que significa que ainda precisavam de outro validador para controlar completamente a rede.

A Sky Mavis revelou em seu relatório que os hackers acabaram aproveitando o Axie DAO (uma organização que apoia o ecossistema de jogos) para realizar o ataque. A Sky Mavis havia solicitado em novembro de 2021 a ajuda do DAO para lidar com a pesada carga de transações.

"Axie DAO permite que a Sky Mavis assine várias transações em seu nome. Esta prática foi interrompida em dezembro de 2021, mas o acesso à lista de permissões não foi revogado," explicou a Sky Mavis em um artigo do blog. "Uma vez que os atacantes obtêm acesso ao sistema da Sky Mavis, eles podem obter assinaturas dos validadores do Axie DAO."

Um mês após o ataque de hackers, a Sky Mavis aumentou o número de seus nós de validação para 11 e afirmou que o objetivo a longo prazo é ter mais de 100 nós.

Sky Mavis recusou-se a comentar sobre os detalhes específicos da implementação do ataque de hackers.

A Sky Mavis arrecadou 150 milhões de dólares em um financiamento liderado por uma plataforma de negociação no início de abril. Esses fundos serão utilizados, juntamente com os recursos próprios da empresa, para compensar os usuários afetados pelo ataque. A empresa anunciou recentemente que começará a devolver os fundos aos usuários a partir de 28 de junho. A ponte Ethereum Ronin, que havia sido interrompida repentinamente após o ataque, também foi reiniciada na semana passada.

Hoje mais cedo, uma instituição de pesquisa em segurança divulgou uma investigação que revela que um grupo de hackers apoiado por um determinado país está a abusar de plataformas sociais e software de mensagens instantâneas, visando contratantes de aeroespacial e defesa. No entanto, o relatório não relacionou essa técnica com o incidente de hackers da Sky Mavis.

Além disso, em abril deste ano, uma agência de segurança emitiu um alerta de segurança, apontando que um grupo de hackers apoiado por um determinado país estava utilizando uma série de aplicativos maliciosos para realizar ataques direcionados à indústria de Ativos de criptografia. Os métodos específicos incluem:

1. Organizações de hackers aproveitam ao máximo os princípios da engenharia social, assumindo diferentes papéis nas principais redes sociais.

2. Conversar e aproximar-se dos desenvolvedores da indústria de blockchain, preparando-se para ações subsequentes

3. Organizações de hackers até estabelecem seus próprios sites de negociação, usando o pretexto de recrutamento de funcionários terceirizados para ganhar a confiança dos desenvolvedores.

4. Aproveitar a oportunidade para enviar malware relacionado para ataques de phishing

Em relação a este tipo de evento, a entidade de segurança fornece as seguintes recomendações de prevenção:

1. Os profissionais da indústria devem seguir de perto as informações de segurança das principais plataformas de ameaças nacionais e internacionais, realizar autoavaliações e manter-se alerta.

2. Os desenvolvedores devem realizar as verificações de segurança necessárias antes de executar o programa.

3. Estabelecer um mecanismo de zero confiança pode efetivamente reduzir os riscos trazidos por esse tipo de ameaça

4. Recomenda-se que os usuários que operam em tempo real mantenham o software de segurança com proteção ativa e atualizem regularmente a base de dados de vírus.