Málokdy se žádost o zaměstnání zvrtne tak spektakulárně jako v případě jednoho vedoucího inženýra ve společnosti Axie Infinity, jehož zájem o práci ve společnosti, která se ukázala být fiktivní, vedl k jednomu z největších hackerských útoků v krypto odvětví.
Falešná nabídka a osudný inzerát
Společnost Ronin, sidechain napojený na ethereum, který je základem hry Axie Infinity, přišla v březnu kvůli exploitu o 540 milionů dolarů v kryptoměnách. Ačkoli americká vláda později spojila tento incident se severokorejskou hackerskou skupinou Lazarus, úplné podrobnosti o tom, jak byl exploit proveden, nebyly zveřejněny.
Podle dvou osob, které jsou s touto záležitostí přímo obeznámeny a kterým byla vzhledem k citlivé povaze incidentu poskytnuta anonymita, byl vedoucí inženýr společnosti Axie Infinity oklamán a ucházel se o práci ve společnosti, která ve skutečnosti neexistovala.
Společnost Axie Infinity byla obrovská. Na jejím vrcholu si pracovníci v jihovýchodní Asii mohli dokonce vydělat na živobytí hrou “play-to-earn”. V listopadu loňského roku se mohla pochlubit skoro 3 miliony aktivních uživatelů denně a týdenním objemem obchodů s herními NFT ve výši 214 milionů dolarů, ačkoli obě čísla od té doby prudce klesla.
Přístup k validátorům
Podle lidí obeznámených se situací byli na začátku tohoto roku zaměstnanci vývojářské společnosti Sky Mavis, která Axie Infinity vyvíjí, osloveni lidmi, kteří údajně zastupovali falešnou společnost, a vyzváni, aby se ucházeli o práci. Jeden ze zdrojů dodal, že k oslovení došlo prostřednictvím profesní sítě LinkedIn.
Po tom, co jeden ze zdrojů popsal jako několik kol pohovorů, byla jednomu z inženýrů společnosti Sky Mavis nabídnuta práce s mimořádně štědrým kompenzačním balíčkem.
Falešná “nabídka” byla doručena ve formě dokumentu PDF, který si inženýr stáhl, což umožnilo spywaru proniknout do systémů společnosti Ronin. Odtud se hackerům podařilo napadnout a ovládnout čtyři z devíti validátorů v síti Ronin, k úplné kontrole jim tak chyběl už jen jeden validátor.
V příspěvku na blogu po hackerském útoku, který byl zveřejněn 27. dubna, Sky Mavis uvedla:
“Zaměstnanci jsou pod neustálými pokročilými spear-phishingovými útoky na různých sociálních kanálech a jeden zaměstnanec byl kompromitován. Tento zaměstnanec již ve společnosti Sky Mavis nepracuje. Útočníkovi se podařilo využít jeho přístupu k průniku do IT infrastruktury společnosti Sky Mavis a získat přístup k validátorům uzlů.”
Čtyři z devíti
Validátory plní v blockchainech různé funkce, včetně vytváření bloků transakcí a aktualizace datových věštců. Ronin používá k podepisování transakcí takzvaný systém “proof of authority”, který soustřeďuje moc v rukou devíti důvěryhodných subjektů.
Dubnový příspěvek na blogu společnosti Elliptic, která se zabývá analýzou blockchainů, tento incident vysvětluje:
“Prostředky lze přesunout, pokud to schválí pět z devíti ověřovatelů. Útočníkovi se podařilo získat soukromé kryptografické klíče patřící pěti z validátorů, což stačilo k odcizení kryptoaktiv.”
Po úspěšné infiltraci do systémů společnosti Ronin prostřednictvím falešného pracovního inzerátu však hackeři ovládli pouze čtyři z devíti validátorů, to znamená, že k převzetí kontroly potřebovali další.
Axie DAO
Ve své postmortem zprávě Sky Mavis odhalil, že se hackerům podařilo k dokončení loupeže využít Axie DAO (Decentralized Autonomous Organization), skupinu založenou na podporu herního ekosystému. Sky Mavis požádala DAO o pomoc při řešení velkého objemu transakcí v listopadu 2021.
“Axie DAO umožnila, aby Sky Mavis podepisovala různé transakce jejím jménem. To bylo v prosinci 2021 přerušeno, ale přístup na allowlist nebyl zrušen. Jakmile útočník získal přístup do systémů Sky Mavis, mohl získat podpis z validátoru Axie DAO.”
Měsíc po hackerském útoku společnost Sky Mavis zvýšila počet svých validátorů na 11 a v blogovém příspěvku uvedla, že jejím dlouhodobým cílem je mít jich více než 100. Společnost Sky Mavis se odmítla vyjádřit k tomu, jakým způsobem byl hack proveden, když byla oslovena. Společnost LinkedIn na několik žádostí o komentář nereagovala.
Zneužito již dříve
Společnost ESET Research dnes již dříve zveřejnila vyšetřování, které ukázalo, že severokorejský Lazarus zneužil sítě LinkedIn a WhatsApp tím, že se vydával za náboráře a zaměřil se na dodavatele v oblasti letectví a obrany. Zpráva však tuto techniku nespojila s hackerským útokem na Sky Mavis.
Sky Mavis získala na začátku dubna 150 milionů dolarů v kole vedeném společností Binance. Výtěžek bude použit spolu s vlastními prostředky společnosti na odškodnění uživatelů postižených zneužitím. Společnost nedávno uvedla, že prostředky začne uživatelům vracet 28. června. Poté, co se v době hackerského útoku náhle zastavil, byl minulý týden obnoven také ethereum bridge společnosti Ronin.
Závěr
Celkově svět kryptoměn je pro hackery velmi lákavý a je fakt, že jsou schopni ukrást velké částky peněz. Proto je důležité se mít na pozoru. Přidejte se také na náš oficiální discord server KRYPTOMAGAZIN CZ.
oko