Фальшиві оголошення про вакансії призвели до серйозної хакерської події в індустрії шифрування
Досвід роботи старшого інженера Axie Infinity, який подав заявку на роботу, спричинив один з найсерйозніших хакерських атак у криптоіндустрії. Цей інцидент стосується еталонного ефірного сайдчейну Axie Infinity Ronin, в результаті атаки в березні цього року було втрачено 540 мільйонів доларів США в криптовалюті. Хоча уряд США пізніше зв'язав цей випадок з хакерською групою Північної Кореї Lazarus, конкретні деталі атаки досі не були повністю розкриті.
Відомо, що цей інцидент пов'язаний з фальшивим оголошенням про роботу. Джерела повідомляють, що на початку цього року особа, яка стверджувала, що представляє певну компанію, зв'язалася з працівниками розробника Axie Infinity Sky Mavis через професійну соціальну мережу, заохочуючи їх подавати заявки на роботу. Після кількох раундів співбесід один з інженерів Sky Mavis отримав пропозицію роботи з високою зарплатою.
Потім інженер отримав підроблений лист про зарахування у форматі PDF. Після завантаження документа, хакерське програмне забезпечення успішно проникло в систему Ronin. Хакер одразу ж атакував і контролював 4 з 9 валідаторів у мережі Ronin, залишившись лише за крок до повного контролю над мережею.
Sky Mavis у звіті після події 27 квітня зазначила: "Наші співробітники постійно зазнають різних висококласних фішингових атак в соціальних мережах, один з наших співробітників, на жаль, був зламаний. Цей співробітник більше не працює в компанії. Зловмисники використали отриманий доступ для проникнення в IT-інфраструктуру компанії, внаслідок чого отримали доступ до верифікаційних вузлів."
Валідатор у блокчейні виконує кілька функцій, зокрема створення торгових блоків та оновлення даних оракула. Ronin використовує систему "доказу авторитету" для підписання транзакцій, концентруючи владу в руках 9 довірених валідаторів.
Компанія з аналізу блокчейнів Elliptic пояснила: "Якщо 5 з 9 валідаторів дадуть згоду, кошти можуть бути виведені. Зловмисник успішно отримав приватні ключі 5 валідаторів, що достатньо для крадіжки шифрування активів."
Однак, після того як Хакер успішно зламав систему Ronin через фальшиві вакансії, він контролював лише 4 з 9 валідаторів і йому потрібен був ще один валідатор для повного контролю.
Sky Mavis повідомляє, що Хакер врешті-решт скористався Axie DAO (організацією, яка підтримує ігрову екосистему), щоб здійснити атаку. Sky Mavis раніше в листопаді 2021 року зверталася до DAO за допомогою у вирішенні великої кількості транзакцій.
"Axie DAO дозволяє Sky Mavis підписувати різні угоди від імені нього. Ця практика була припинена у грудні 2021 року, але доступ до списку дозволів не було скасовано, "– йдеться в блозі Sky Mavis. "Як тільки зловмисник потрапляє в систему Sky Mavis, він може отримати підпис від валідаторів Axie DAO."
Хакер атака сталася через місяць після того, як Sky Mavis збільшила кількість валідаційних вузлів до 11 і заявила, що довгостроковою метою є наявність більше 100 вузлів.
Sky Mavis отримала 150 мільйонів доларів фінансування на початку квітня, яке було організовано певною торговою платформою. Ці кошти будуть використані разом з власними коштами компанії для компенсації користувачів, які постраждали від атаки. Компанія нещодавно оголосила, що почне повертати кошти користувачам з 28 червня. Ethereum міст Ronin, який був призупинений після атаки хакера, також був повторно запущений минулого тижня.
Сьогодні раніше ESET Research опублікувала дослідження, яке виявило, що північнокорейська організація Lazarus зловживає професійними соціальними платформами та програмами миттєвого обміну повідомленнями, націлюючись на підрядників у сфері аерокосмічної та оборонної промисловості. Проте в цьому звіті не було пов'язано цю технологію з інцидентом з хакерами Sky Mavis.
Крім того, у квітні цього року одна з безпекових агенцій випустила попередження про безпеку, вказавши, що північнокорейська APT організація Lazarus Group використовує ряд шкідливих застосунків для проведення цілеспрямованих APT атак на індустрію цифрових валют. Її конкретні методи включають:
Відігравати різні ролі в основних соціальних мережах, повністю використовуючи принципи соціальної інженерії.
Налагодження зв'язків з розробниками у сфері шифрування для підготовки до подальших дій.
Навіть створюють сайти для торгівлі, які виглядають нормально, використовуючи аутсорсинг для набору співробітників як прикриття.
Після отримання довіри розробників, надсилайте шкідливе програмне забезпечення для фішингових атак.
Щодо таких подій, експерти з безпеки радять:
Працівники галузі повинні уважно стежити за безпековою інформацією з основних загрозливих платформ, проводити самостійні перевірки та зберігати пильність.
Розробники перед запуском виконуваної програми повинні провести необхідні перевірки безпеки.
Впровадження механізму нульового довіри, ефективне зниження ризиків, пов'язаних із загрозами.
Користувачі Mac/Windows повинні підтримувати активний захист безпечного програмного забезпечення та своєчасно оновлювати вірусну базу.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Розкриття хакерської атаки Axie Infinity: Фальшиве працевлаштування призвело до втрати 540 мільйонів доларів США в Криптоактивах
Фальшиві оголошення про вакансії призвели до серйозної хакерської події в індустрії шифрування
Досвід роботи старшого інженера Axie Infinity, який подав заявку на роботу, спричинив один з найсерйозніших хакерських атак у криптоіндустрії. Цей інцидент стосується еталонного ефірного сайдчейну Axie Infinity Ronin, в результаті атаки в березні цього року було втрачено 540 мільйонів доларів США в криптовалюті. Хоча уряд США пізніше зв'язав цей випадок з хакерською групою Північної Кореї Lazarus, конкретні деталі атаки досі не були повністю розкриті.
Відомо, що цей інцидент пов'язаний з фальшивим оголошенням про роботу. Джерела повідомляють, що на початку цього року особа, яка стверджувала, що представляє певну компанію, зв'язалася з працівниками розробника Axie Infinity Sky Mavis через професійну соціальну мережу, заохочуючи їх подавати заявки на роботу. Після кількох раундів співбесід один з інженерів Sky Mavis отримав пропозицію роботи з високою зарплатою.
Потім інженер отримав підроблений лист про зарахування у форматі PDF. Після завантаження документа, хакерське програмне забезпечення успішно проникло в систему Ronin. Хакер одразу ж атакував і контролював 4 з 9 валідаторів у мережі Ronin, залишившись лише за крок до повного контролю над мережею.
Sky Mavis у звіті після події 27 квітня зазначила: "Наші співробітники постійно зазнають різних висококласних фішингових атак в соціальних мережах, один з наших співробітників, на жаль, був зламаний. Цей співробітник більше не працює в компанії. Зловмисники використали отриманий доступ для проникнення в IT-інфраструктуру компанії, внаслідок чого отримали доступ до верифікаційних вузлів."
Валідатор у блокчейні виконує кілька функцій, зокрема створення торгових блоків та оновлення даних оракула. Ronin використовує систему "доказу авторитету" для підписання транзакцій, концентруючи владу в руках 9 довірених валідаторів.
Компанія з аналізу блокчейнів Elliptic пояснила: "Якщо 5 з 9 валідаторів дадуть згоду, кошти можуть бути виведені. Зловмисник успішно отримав приватні ключі 5 валідаторів, що достатньо для крадіжки шифрування активів."
Однак, після того як Хакер успішно зламав систему Ronin через фальшиві вакансії, він контролював лише 4 з 9 валідаторів і йому потрібен був ще один валідатор для повного контролю.
Sky Mavis повідомляє, що Хакер врешті-решт скористався Axie DAO (організацією, яка підтримує ігрову екосистему), щоб здійснити атаку. Sky Mavis раніше в листопаді 2021 року зверталася до DAO за допомогою у вирішенні великої кількості транзакцій.
"Axie DAO дозволяє Sky Mavis підписувати різні угоди від імені нього. Ця практика була припинена у грудні 2021 року, але доступ до списку дозволів не було скасовано, "– йдеться в блозі Sky Mavis. "Як тільки зловмисник потрапляє в систему Sky Mavis, він може отримати підпис від валідаторів Axie DAO."
Хакер атака сталася через місяць після того, як Sky Mavis збільшила кількість валідаційних вузлів до 11 і заявила, що довгостроковою метою є наявність більше 100 вузлів.
Sky Mavis отримала 150 мільйонів доларів фінансування на початку квітня, яке було організовано певною торговою платформою. Ці кошти будуть використані разом з власними коштами компанії для компенсації користувачів, які постраждали від атаки. Компанія нещодавно оголосила, що почне повертати кошти користувачам з 28 червня. Ethereum міст Ronin, який був призупинений після атаки хакера, також був повторно запущений минулого тижня.
Сьогодні раніше ESET Research опублікувала дослідження, яке виявило, що північнокорейська організація Lazarus зловживає професійними соціальними платформами та програмами миттєвого обміну повідомленнями, націлюючись на підрядників у сфері аерокосмічної та оборонної промисловості. Проте в цьому звіті не було пов'язано цю технологію з інцидентом з хакерами Sky Mavis.
Крім того, у квітні цього року одна з безпекових агенцій випустила попередження про безпеку, вказавши, що північнокорейська APT організація Lazarus Group використовує ряд шкідливих застосунків для проведення цілеспрямованих APT атак на індустрію цифрових валют. Її конкретні методи включають:
Щодо таких подій, експерти з безпеки радять: