Đơn xin việc được theo dõi đã dẫn đến vụ trộm tài sản tiền điện tử quy mô lớn

Một đơn xin việc của một kỹ sư cao cấp Axie Infinity đã trở thành nguyên nhân dẫn đến sự kiện tấn công hacker lớn nhất trong ngành Tài sản tiền điện tử. Kỹ sư này đã thể hiện sự quan tâm mạnh mẽ đến một công ty sau này được chứng minh là không tồn tại, từ đó đã gây ra một loạt hậu quả gây sốc.

Chuỗi bên Ethereum Ronin dành riêng cho Axie Infinity đã bị tấn công bởi hacker vào tháng 3 năm nay, với tổn thất lên tới 540 triệu đô la Tài sản tiền điện tử. Mặc dù chính phủ Hoa Kỳ sau đó đã liên kết sự kiện này với một tổ chức hacker được một quốc gia hỗ trợ, nhưng thông tin đầy đủ về chi tiết thực hiện cuộc tấn công vẫn chưa được công khai.

Theo báo cáo, nguyên nhân của sự kiện này là một quảng cáo tuyển dụng giả.

Hai người có thông tin cho biết, vào đầu năm nay, một người tự xưng là đại diện cho một công ty đã liên hệ với nhân viên của nhà phát triển Axie Infinity, Sky Mavis, qua nền tảng mạng xã hội, khuyến khích họ nộp đơn xin việc. Sau nhiều vòng phỏng vấn, một kỹ sư của Sky Mavis đã nhận được một lời mời làm việc với mức lương hấp dẫn.

Sau đó, kỹ sư nhận được một bức thư thông báo tuyển dụng giả mạo dưới dạng tài liệu PDF. Khi kỹ sư tải tài liệu đó xuống, phần mềm độc hại đã thâm nhập thành công vào hệ thống của Ronin. Các hacker sau đó đã tấn công và kiểm soát bốn trong số chín trình xác thực trên mạng Ronin, chỉ còn một bước nữa để hoàn toàn kiểm soát toàn bộ mạng.

Sky Mavis trong báo cáo sau sự kiện được công bố vào ngày 27 tháng 4 cho biết: "Nhân viên của chúng tôi liên tục chịu đựng các cuộc tấn công lừa đảo mạng cao cấp qua nhiều kênh xã hội, cuối cùng một nhân viên đã bị xâm nhập thành công. Nhân viên đó không còn làm việc tại công ty nữa. Kẻ tấn công đã lợi dụng quyền truy cập bị chiếm đoạt để xâm nhập vào hạ tầng IT của công ty, từ đó có được quyền truy cập vào các nút xác thực."

Các trình xác thực đảm nhận nhiều chức năng quan trọng trong blockchain, bao gồm việc tạo khối giao dịch và cập nhật dữ liệu oracle. Ronin áp dụng hệ thống "bằng chứng quyền lực" để ký kết giao dịch, tập trung quyền lực vào tay chín trình xác thực đáng tin cậy.

Một công ty phân tích blockchain đã giải thích trong một bài viết trên blog vào tháng Tư: "Chỉ cần năm trong số chín người xác thực đồng ý, tiền có thể được chuyển đi. Kẻ tấn công đã thành công trong việc lấy được khóa riêng của năm người xác thực, đủ để đánh cắp tài sản tiền điện tử."

Tuy nhiên, sau khi hacker thâm nhập vào hệ thống Ronin thông qua quảng cáo tuyển dụng giả, họ chỉ kiểm soát bốn trong số chín xác thực viên, điều này có nghĩa là họ vẫn cần thêm một xác thực viên nữa để kiểm soát hoàn toàn mạng.

Sky Mavis đã tiết lộ trong báo cáo của mình rằng những kẻ tấn công cuối cùng đã lợi dụng Axie DAO (một tổ chức hỗ trợ hệ sinh thái trò chơi) để thực hiện cuộc tấn công. Sky Mavis đã yêu cầu DAO hỗ trợ xử lý khối lượng giao dịch lớn vào tháng 11 năm 2021.

"Axie DAO cho phép Sky Mavis đại diện cho nó ký kết các giao dịch khác nhau. Hành động này đã dừng lại vào tháng 12 năm 2021, nhưng không thu hồi quyền truy cập vào danh sách cấp phép," Sky Mavis giải thích trong bài viết trên blog. "Một khi kẻ tấn công có được quyền truy cập vào hệ thống của Sky Mavis, họ có thể nhận được chữ ký từ trình xác thực Axie DAO."

Một tháng sau khi xảy ra cuộc tấn công của hacker, Sky Mavis đã tăng số lượng nút xác minh lên 11 và cho biết mục tiêu lâu dài là có hơn 100 nút.

Sky Mavis từ chối bình luận về cách thức thực hiện cụ thể của cuộc tấn công hacker.

Sky Mavis đã huy động 150 triệu USD trong một vòng tài trợ do một nền tảng giao dịch dẫn đầu vào đầu tháng 4. Số tiền này sẽ được sử dụng cùng với vốn tự có của công ty để bồi thường cho người dùng bị ảnh hưởng bởi cuộc tấn công. Công ty gần đây đã thông báo rằng sẽ bắt đầu hoàn tiền cho người dùng vào ngày 28 tháng 6. Cây cầu Ethereum Ronin, đã ngừng hoạt động đột ngột sau cuộc tấn công của hacker, cũng đã được khởi động lại vào tuần trước.

Hôm nay, một tổ chức nghiên cứu an ninh đã công bố một cuộc điều tra, tiết lộ rằng một tổ chức hacker được một quốc gia hỗ trợ đã lạm dụng các nền tảng mạng xã hội và phần mềm nhắn tin tức thì, nhằm vào các nhà thầu trong lĩnh vực hàng không vũ trụ và quốc phòng. Tuy nhiên, báo cáo này không liên kết công nghệ này với sự kiện hacker Sky Mavis.

Ngoài ra, vào tháng 4 năm nay, một cơ quan an ninh đã phát hành thông báo an ninh, chỉ ra rằng một tổ chức hacker được hỗ trợ bởi một quốc gia nào đó đã sử dụng một loạt các ứng dụng độc hại để tấn công có định hướng vào ngành công nghiệp Tài sản tiền điện tử. Cách thức cụ thể bao gồm:

1. Các tổ chức hacker tận dụng triệt để nguyên lý kỹ thuật xã hội, đóng vai các vai trò khác nhau trên các mạng xã hội lớn.

2. Nói chuyện với các nhà phát triển trong ngành công nghiệp blockchain, tiếp cận, chuẩn bị cho các hành động tiếp theo

3. Các tổ chức hacker thậm chí xây dựng trang giao dịch của riêng họ, lợi dụng các chiêu trò như tuyển dụng nhân viên gia công để có được niềm tin của các nhà phát triển.

4. Nhân cơ hội gửi phần mềm độc hại liên quan để thực hiện tấn công lừa đảo

Đối với các sự kiện như vậy, cơ quan an ninh này đưa ra các đề xuất phòng ngừa sau:

1. Nhân viên trong ngành nên theo dõi chặt chẽ thông tin an ninh từ các nền tảng đe dọa lớn trong và ngoài nước, thực hiện tự kiểm tra và nâng cao cảnh giác.

2. Các nhà phát triển nên thực hiện kiểm tra an ninh cần thiết trước khi chạy chương trình thực thi.

3. Thiết lập cơ chế không tin cậy, có thể giảm thiểu hiệu quả rủi ro do các mối đe dọa này mang lại.

4. Đề nghị người dùng chạy thực tế giữ phần mềm bảo mật mở bảo vệ thời gian thực và kịp thời cập nhật cơ sở dữ liệu virus mới nhất.