Takip edilen iş başvurusunun büyük ölçekli Kripto Varlıklar hırsızlığına yol açması

Bir Axie Infinity kıdemli mühendisinin iş başvurusu, kripto varlıklar sektöründeki en büyük siber saldırı olayının kıvılcımını çaktı. Bu mühendis, daha sonra var olmadığı kanıtlanan bir şirkete büyük ilgi gösterdi ve bu da şok edici bir dizi sonucun ortaya çıkmasına neden oldu.

Axie Infinity'e özel Ethereum yan zinciri Ronin, bu yıl Mart ayında bir siber saldırıya uğradı ve 5.4 milyar dolar değerinde kripto varlık kaybedildi. ABD hükümeti daha sonra bu olayı belirli bir ülkenin desteklediği hacker grubu ile ilişkilendirmiş olsa da, saldırının tam uygulama detaylarına dair eksiksiz bilgi henüz kamuoyuna açıklanmadı.

Haberlere göre, bu olayın nedeni sahte bir iş ilanıdır.

İki kaynağın verdiği bilgiye göre, bu yılın başlarında, kendisini bir şirketin temsilcisi olarak tanıtan bir kişi, sosyal medya platformu aracılığıyla Axie Infinity geliştiricisi Sky Mavis'in çalışanlarıyla iletişime geçti ve onlara iş başvurusu yapmaları için teşvikte bulundu. Birkaç mülakatın ardından, Sky Mavis'ten bir mühendis, yüksek maaşlı bir iş teklifi aldı.

Sonrasında, mühendis sahte bir iş teklifinin PDF belgesi olarak sunulduğu bir e-posta aldı. Mühendis bu belgeyi indirdiğinde, kötü amaçlı yazılım Ronin'in sistemine başarıyla sızdı. Hacker daha sonra Ronin ağı üzerindeki dokuz doğrulayıcıdan dördünü saldırarak kontrol altına aldı, sadece bir adım daha atarak tüm ağı tamamen ele geçirebilirdi.

Sky Mavis, 27 Nisan'da yayınladığı sonraporunda, "Çalışanlarımız çeşitli sosyal kanallardan yüksek düzeyde kimlik avı saldırılarına maruz kalmaya devam etti ve nihayetinde bir çalışan başarılı bir şekilde saldırıya uğradı. Bu çalışan artık şirkette çalışmıyor. Saldırganlar elde ettikleri erişim yetkilerini kullanarak şirketin BT altyapısına sızdı ve ardından doğrulama düğümlerine erişim sağladı."

Blok zincirinde doğrulayıcılar, işlem blokları oluşturmak ve veri oracle'larını güncellemek dahil olmak üzere birçok önemli işlevi yerine getirir. Ronin, işlemleri imzalamak için "otorite kanıtı" sistemini benimseyerek gücü dokuz güvenilir doğrulayıcının elinde toplar.

Bir blok zinciri analiz şirketinin Nisan ayında yayımladığı bir blog yazısında şöyle deniliyor: "Dokuz doğrulayıcıdan beşi onayladığı sürece, fonlar transfer edilebilir. Saldırganlar beş doğrulayıcının özel anahtarlarını ele geçirmeyi başardı ve bu, kripto varlıkları çalmak için yeterli oldu."

Ancak, bir hacker sahte iş ilanları aracılığıyla Ronin sistemine sızdıktan sonra, yalnızca dokuz doğrulayıcıdan dördünü kontrol altına aldı; bu, ağın tam kontrolü için bir doğrulayıcıya daha ihtiyaçları olduğu anlamına geliyor.

Sky Mavis, raporunda, hackerların sonunda Axie DAO'yu (bir oyun ekosistemini destekleyen bir organizasyon) kullanarak saldırıyı gerçekleştirdiğini açıkladı. Sky Mavis, Kasım 2021'de DAO'dan ağır işlem yükünü yönetme konusunda yardım istemişti.

"Axie DAO, Sky Mavis'in çeşitli işlemleri imzalamasına izin veriyordu. Bu uygulama Aralık 2021'de durdurulmuştu, ancak izinli listeye erişim iptal edilmemişti," Sky Mavis bir blog yazısında açıkladı. "Bir kez saldırganlar Sky Mavis sistemine erişim elde ettiğinde, Axie DAO doğrulayıcılarından imza alabilirler."

Bir ay sonra gerçekleşen siber saldırının ardından, Sky Mavis doğrulayıcı düğüm sayısını 11'e çıkararak, uzun vadeli hedeflerinin 100'den fazla düğüm bulundurmak olduğunu belirtti.

Sky Mavis, saldırının uygulama yöntemleri hakkında yorum yapmayı reddetti.

Sky Mavis, bir işlem platformu tarafından öncülük edilen bir finansman turunda Nisan ayı başında 150 milyon dolar topladı. Bu fon, şirketin kendi kaynakları ile birlikte saldırıdan etkilenen kullanıcıları tazmin etmek için kullanılacak. Şirket, 28 Haziran'dan itibaren kullanıcılara fonları iade etmeye başlayacağını açıkladı. Hacker saldırısından sonra aniden durdurulan Ronin Ethereum köprüsü de geçen hafta yeniden başlatıldı.

Bugün erken saatlerde, bir güvenlik araştırma kurumu, bir ülke destekli hacker gruplarının sosyal medya platformlarını ve anlık mesajlaşma yazılımlarını kötüye kullandığını, havacılık ve savunma müteahhitlerine hedef aldığını ortaya koyan bir araştırma yayınladı. Ancak rapor, bu teknolojiyi Sky Mavis hacker olayıyla ilişkilendirmedi.

Buna ek olarak, bu yılın Nisan ayında, bir güvenlik kurumu bir güvenlik uyarısı yayınladı ve belirli bir ülkenin desteklediği hacker gruplarının dijital varlıklar sektörüne yönelik hedefli saldırılar gerçekleştirmek için bir dizi kötü amaçlı uygulama kullandığını belirtti. Özellikle kullanılan yöntemler şunlardır:

1. Hacker organizasyonları, sosyal mühendislik prensiplerini tam olarak kullanarak, büyük sosyal medya platformlarında farklı roller üstlenmektedir.

2. Blok zinciri endüstrisi geliştiricileriyle sohbet et, yaklaş, sonraki eylemler için hazırlık yap.

3. Hacker grupları, geliştiricilerin güvenini kazanmak için dış kaynak çalışanı alım gibi bahanelerle kendi ticaret sitelerini bile kuruyor.

4. Fırsattan yararlanarak ilgili kötü amaçlı yazılımları göndererek oltalama saldırısı gerçekleştirmek

Bu tür olaylar için, bu güvenlik kuruluşu aşağıdaki önleme önerilerini sunmaktadır:

1. Sektör çalışanları, yurtiçi ve yurtdışındaki büyük tehdit platformlarının güvenlik istihbaratını yakından takip etmelidir, kendilerini kontrol etmeli ve tedbirli olmalıdır.

2. Geliştiricilerin çalıştırılabilir programı çalıştırmadan önce gerekli güvenlik kontrollerini yapmaları gerekir.

3. Sıfır güven mekanizması kurmak, bu tür tehditlerin getirdiği riskleri etkili bir şekilde azaltabilir.

4. Önerilir ki, gerçek makine kullanan kullanıcılar güvenlik yazılımının gerçek zamanlı korumasını açık tutmalı ve en son virüs veritabanını zamanında güncellemelidir.