Заявка на роботу, що привернула увагу, спричинила масове викрадення криптоактивів

Заява на роботу одного з старших інженерів Axie Infinity стала каталізатором найбільшого в історії криптоактивів хакерського нападу. Цей інженер виявив значний інтерес до компанії, яка пізніше виявилася неіснуючою, що призвело до серії шокуючих наслідків.

Спеціалізована на Axie Infinity Eфірна бічна лінія Ronin у березні цього року зазнала хакерської атаки, в результаті якої було втрачено до 540 мільйонів доларів США в криптоактивах. Хоча уряд США пізніше пов'язав цей інцидент з хакерською групою, що підтримується певною країною, повна інформація про деталі атаки досі не була оприлюднена.

За повідомленнями, причиною цього інциденту стало фальшиве оголошення про вакансію.

Двоє обізнаних осіб повідомили, що на початку цього року людина, яка представилася як представник певної компанії, зв'язалася з працівниками розробника Axie Infinity Sky Mavis через соціальну платформу, заохочуючи їх подавати заявки на роботу. Після кількох етапів співбесіди один з інженерів Sky Mavis отримав пропозицію про роботу з високою зарплатою.

Потім інженер отримав підроблений лист про прийом на роботу у форматі PDF. Коли інженер завантажив цей документ, шкідливе програмне забезпечення успішно проникло в систему Ronin. Хакер згодом зміг атакувати та контролювати чотири з дев'яти валідаторів у мережі Ronin, залишившись лише на крок від повного контролю над усією мережею.

Sky Mavis у звіті, опублікованому 27 квітня, повідомила: "Наші співробітники постійно зазнають різноманітних висококласних фішингових атак через соціальні канали, в результаті чого один із співробітників був успішно зламаний. Цей співробітник більше не працює в компанії. Зловмисники використали отримані права доступу для проникнення в IT-інфраструктуру компанії, внаслідок чого отримали доступ до верифікаційних вузлів."

Валідатори виконують кілька важливих функцій у блокчейні, включаючи створення блоків транзакцій та оновлення даних оракулів. Ronin використовує систему "доказу авторитету" для підписання транзакцій, зосереджуючи владу в руках дев'яти довірених валідаторів.

Одна з компаній з аналізу блокчейн у блозі, опублікованому в квітні, пояснила: "Якщо п’ять з дев’яти валідаторів схвалять, кошти можуть бути виведені. Зловмисники успішно отримали приватні ключі п’яти валідаторів, що достатньо для крадіжки криптоактивів."

Однак, після успішного проникнення в систему Ronin через фальшиві вакансії, хакери контролювали лише чотирьох з дев'яти валідаторів, що означає, що їм потрібен ще один валідатор для повного контролю над мережею.

Sky Mavis у своєму звіті повідомила, що хакери врешті-решт використали Axie DAO (організацію, що підтримує ігрову екосистему) для здійснення атаки. Sky Mavis звернулася до DAO за допомогою у листопаді 2021 року для обробки великого навантаження транзакцій.

"Axie DAO дозволяє Sky Mavis підписувати різноманітні транзакції від його імені. Ця практика була припинена в грудні 2021 року, але доступ до списку дозволів не було відкликано," пояснює Sky Mavis у блозі. "Як тільки зловмисники отримають доступ до системи Sky Mavis, вони можуть отримати підпис з валідатора Axie DAO."

Через місяць після хакерської атаки Sky Mavis збільшила кількість своїх верифікаційних вузлів до 11 і заявила, що їхньою довгостроковою метою є наявність більше 100 вузлів.

Sky Mavis відмовився коментувати конкретні способи здійснення хакерської атаки.

Sky Mavis залучила 150 мільйонів доларів США на початку квітня в фінансуванні, яке очолила одна з торгівельних платформ. Ці кошти будуть використані разом з власними коштами компанії для компенсації користувачам, яких торкнувся напад. Компанія нещодавно повідомила, що почне повертати кошти користувачам з 28 червня. Міст Ethereum Ronin, який раптово зупинився після хакерської атаки, також був перезапущений минулого тижня.

Сьогодні раніше одна з організацій з безпеки опублікувала дослідження, в якому йдеться про те, що підтримувані певною країною хакерські групи зловживають соціальними платформами та програмами миттєвого обміну повідомленнями, націлюючись на підрядників у сфері аерокосмічної та оборонної промисловості. Проте в звіті не було вказано на зв'язок цієї технології з інцидентом з хакерами Sky Mavis.

Крім того, у квітні цього року одна з безпекових агенцій опублікувала попередження про безпеку, в якому зазначалося, що хакерські групи, підтримувані певною країною, використовують ряд шкідливих додатків для цілеспрямованих атак на індустрію цифрових активів. Конкретні методи включають:

1. Хакерські організації повністю використовують принципи соціальної інженерії, граючи різні ролі в основних соціальних мережах.

2. Спілкуватися з розробниками в індустрії блокчейн, наближатися, готуватися до подальших дій

3. Хакерські організації навіть створюють власні торгові сайти, використовуючи підроблені оголошення про наймання співробітників, щоб здобути довіру розробників.

4. Використовувати можливість для надсилання відповідного шкідливого програмного забезпечення для фішингових атак

Щодо таких подій, цей безпековий орган надав такі рекомендації щодо запобігання:

1. Працівники галузі повинні уважно слідкувати за безпековою інформацією з основних загроз у країні та за кордоном, проводити самоінспекцію та підвищувати обізнаність.

2. Розробники повинні провести необхідні перевірки безпеки перед запуском виконуваної програми.

3. Встановлення механізму нульового довіри може ефективно знизити ризики, пов'язані з такими загрозами.

4. Рекомендується, щоб користувачі, які працюють на справжньому обладнанні, тримали антивірусне програмне забезпечення з активною реального часу захистом увімкненим та своєчасно оновлювали останню вірусну базу.