Внимание привлекла заявка на работу, вызвавшая массовую кражу криптоактивов

Заявка на работу одного из старших инженеров Axie Infinity стала катализатором крупнейшей в истории криптоактивов хакерской атаки. Этот инженер проявил живой интерес к компании, которая позже оказалась несуществующей, что привело к ряду шокирующих последствий.

Специальная эфириум-боковая цепь Axie Infinity Ronin в марте этого года подверглась хакерской атаке, в результате которой был утрачен криптоактив на сумму до 540 миллионов долларов. Хотя правительство США позже связало этот инцидент с хакерской организацией, поддерживаемой одной из стран, полная информация о конкретных деталях атаки до сих пор не была обнародована.

По сообщениям, причиной этого инцидента стало ложное объявление о вакансии.

Два информированных источника сообщили, что ранее в этом году человек, который заявил, что представляет какую-то компанию, связался через социальные платформы с сотрудниками разработчика Axie Infinity Sky Mavis и побудил их подавать заявки на работу. После нескольких раундов собеседований один из инженеров Sky Mavis получил предложение о работе с высокой зарплатой.

Затем инженер получил поддельное уведомление о приеме на работу, представленное в виде PDF-документа. Когда инженер загрузил этот документ, вредоносное ПО успешно проникло в систему Ronin. Хакеры затем смогли атаковать и контролировать четыре из девяти валидаторов в сети Ronin, всего в шаге от полного контроля над всей сетью.

Sky Mavis в своем отчетe, опубликованном 27 апреля, заявил: "Наши сотрудники продолжают подвергаться различным высококлассным фишинговым атакам через социальные каналы, в конечном итоге один из сотрудников был успешно взломан. Этот сотрудник больше не работает в компании. Злоумышленники использовали полученные права доступа для проникновения в ИТ-инфраструктуру компании и, таким образом, получили доступ к верификационным узлам."

Валидаторы выполняют несколько важных функций в блокчейне, включая создание транзакционных блоков и обновление данных оракулов. Ronin использует систему "доказательства авторитета" для подписания транзакций, сосредоточив власть в руках девяти доверенных валидаторов.

Одна из компаний по анализу блокчейна в своем блоге в апреле объяснила: "Если пять из девяти валидаторов одобрят, средства могут быть переведены. Злоумышленник успешно получил приватные ключи пяти валидаторов, что достаточно для кражи криптоактивов."

Тем не менее, после успешного проникновения в систему Ronin через ложные объявления о найме, хакеры контролировали только четырех из девяти валидаторов, что означает, что им нужен еще один валидатор для полного контроля над сетью.

Sky Mavis в своем отчете раскрыла, что хакеры в конечном итоге использовали Axie DAO (организацию, поддерживающую игровую экосистему) для осуществления атаки. Sky Mavis ранее в ноябре 2021 года просила DAO помочь справиться с высокой нагрузкой по транзакциям.

"Axie DAO позволяет Sky Mavis подписывать различные сделки от своего имени. Эта практика была прекращена в декабре 2021 года, но доступ к списку разрешений не был отозван," объясняет Sky Mavis в блоге. "Как только злоумышленники получают доступ к системе Sky Mavis, они могут получить подписи от валидаторов Axie DAO."

Через месяц после хакерской атаки Sky Mavis увеличила количество своих проверочных узлов до 11 и заявила, что долгосрочная цель состоит в том, чтобы иметь более 100 узлов.

Sky Mavis отказался комментировать конкретные способы осуществления хакерской атаки.

Sky Mavis привлекла 150 миллионов долларов в финансировании, организованном одной из торговых платформ в начале апреля. Эти средства будут использованы вместе с собственными средствами компании для компенсации пользователей, пострадавших от атаки. Компания недавно заявила, что начнет возвращать средства пользователям 28 июня. Ethereum мост Ronin, который был внезапно остановлен после хакерской атаки, также был перезапущен на прошлой неделе.

Сегодня ранее исследовательская организация по безопасности опубликовала исследование, в котором раскрывается, что хакерская группа, поддерживаемая одной из стран, злоупотребляет социальными платформами и приложениями для мгновенного обмена сообщениями, нацеливаясь на подрядчиков в области аэрокосмической и оборонной промышленности. Однако в отчете не установлена связь этой технологии с инцидентом хакерской атаки на Sky Mavis.

Кроме того, в апреле этого года одно из агентств по безопасности выпустило предупреждение о безопасности, в котором говорится, что хакерская группа, поддерживаемая одной из стран, использует ряд вредоносных приложений для нацеливания на сектор криптоактивов. Конкретные методы включают:

1. Хакерские организации в полной мере используют принципы социальной инженерии, играя разные роли в крупных социальных медиа.

2. Общайтесь с разработчиками в области шифрования, приближайтесь, готовьтесь к дальнейшим действиям.

3. Хакерские организации даже создают свои собственные торговые сайты, выдавая себя за аутсорсинговые компании для привлечения доверия разработчиков.

4. Использовать возможность для отправки связанного вредоносного ПО для фишинговых атак

В связи с такими событиями, этот орган безопасности дает следующие рекомендации по профилактике:

1. Работники отрасли должны внимательно следить за безопасностью информации о угрозах на крупных платформах как внутри страны, так и за рубежом, проводить самопроверку и повышать бдительность.

2. Разработчики должны провести необходимые проверки безопасности перед запуском исполняемой программы.

3. Установление механизма нулевого доверия может эффективно снизить риски, связанные с такими угрозами.

4. Рекомендуется, чтобы пользователи с реальным оборудованием держали активную защиту программного обеспечения в режиме реального времени и своевременно обновляли последние вирусные базы.