Tuyển dụng giả trở thành ngòi nổ lớn nhất trong sự kiện hacker của ngành mã hóa
Một kỹ sư cấp cao của Axie Infinity đã nộp đơn xin gia nhập một công ty mà sau này được xác nhận là hư cấu, hành động này đã gây ra một trong những sự kiện hacker nghiêm trọng nhất trong ngành mã hóa.
Chuỗi bên Ethereum Ronin dành riêng cho Axie Infinity đã bị tấn công bởi hacker vào tháng 3 năm nay, với khoản thiệt hại lên tới 540 triệu đô la mã hóa. Mặc dù chính phủ Hoa Kỳ sau đó đã liên kết sự kiện này với tổ chức hacker Bắc Triều Tiên Lazarus, nhưng các chi tiết cụ thể về cuộc tấn công vẫn chưa được công bố hoàn toàn.
Theo thông tin, sự kiện này liên quan chặt chẽ đến một quảng cáo tuyển dụng giả. Một nguồn tin cho biết, vào đầu năm nay, một người tự xưng là đại diện cho một công ty đã liên hệ với nhân viên của nhà phát triển Axie Infinity, Sky Mavis, thông qua nền tảng mạng xã hội nghề nghiệp, khuyến khích họ nộp đơn xin việc. Sau nhiều vòng phỏng vấn, một kỹ sư của Sky Mavis đã nhận được một đề nghị lương cao.
Sau đó, kỹ sư nhận được một thông báo tuyển dụng giả mạo ở định dạng PDF. Sau khi tải xuống tài liệu này, phần mềm Hacker đã thâm nhập thành công vào hệ thống của Ronin. Hacker ngay lập tức tấn công và kiểm soát 4 trong số 9 trình xác thực trên mạng Ronin, chỉ còn một bước nữa là có thể hoàn toàn kiểm soát toàn bộ mạng.
Sky Mavis đã cho biết trong phân tích sau sự việc vào ngày 27 tháng 4: "Nhân viên của chúng tôi liên tục phải đối mặt với các cuộc tấn công lừa đảo tinh vi qua nhiều kênh truyền thông xã hội, trong đó một nhân viên không may đã bị mắc bẫy. Kẻ tấn công đã lợi dụng quyền truy cập đã có được để xâm nhập vào hạ tầng IT của công ty, từ đó kiểm soát các nút xác thực. Nhân viên đó hiện đã nghỉ việc."
Các xác thực viên đảm nhiệm nhiều chức năng quan trọng trong blockchain, bao gồm tạo các khối giao dịch và cập nhật dữ liệu oracle. Ronin áp dụng cơ chế "bằng chứng quyền lực", tập trung quyền lực vào 9 xác thực viên đáng tin cậy.
Công ty phân tích blockchain Elliptic giải thích: "Chỉ cần 5 trong số 9 người xác thực phê duyệt, thì có thể chuyển tiền. Kẻ tấn công đã thành công trong việc lấy được khóa riêng của 5 người xác thực, đủ để đánh cắp tài sản mã hóa."
Tuy nhiên, Hacker đã thâm nhập vào hệ thống Ronin thông qua việc tuyển dụng giả và chỉ kiểm soát được 4 trong số 9 xác thực viên, còn cần thêm một xác thực viên nữa để hoàn toàn kiểm soát.
Sky Mavis đã tiết lộ trong báo cáo rằng Hacker cuối cùng đã lợi dụng Axie DAO (một tổ chức hỗ trợ hệ sinh thái game) để thực hiện cuộc tấn công. Sky Mavis đã yêu cầu DAO hỗ trợ xử lý khối lượng giao dịch nặng vào tháng 11 năm 2021.
"Axie DAO ủy quyền cho Sky Mavis đại diện cho nó ký kết các giao dịch khác nhau. Mặc dù quyền ủy quyền này đã dừng lại vào tháng 12 năm 2021, nhưng quyền truy cập danh sách giấy phép không bị thu hồi," Sky Mavis giải thích. "Một khi kẻ tấn công xâm nhập vào hệ thống của Sky Mavis, họ có thể lấy chữ ký từ bộ xác thực của Axie DAO."
Sự kiện hacker xảy ra một tháng sau, Sky Mavis đã tăng số lượng nút xác minh lên 11 và cho biết mục tiêu dài hạn là có hơn 100 nút.
Sky Mavis đã nhận được 150 triệu USD vốn tài trợ do một sàn giao dịch dẫn đầu vào đầu tháng 4. Số tiền này sẽ được sử dụng cùng với vốn tự có của công ty để bồi thường cho người dùng bị ảnh hưởng bởi cuộc tấn công. Công ty gần đây đã thông báo sẽ bắt đầu hoàn trả tiền cho người dùng vào ngày 28 tháng 6. Cây cầu Ethereum Ronin, đã tạm dừng do cuộc tấn công của hacker, cũng đã được khởi động lại vào tuần trước.
Gần đây, một cơ quan nghiên cứu bảo mật đã phát hành báo cáo điều tra, tiết lộ rằng tổ chức Lazarus của Triều Tiên đã lạm dụng các nền tảng mạng xã hội nghề nghiệp và phần mềm nhắn tin tức thời để tấn công các nhà thầu trong lĩnh vực hàng không vũ trụ và quốc phòng. Mặc dù báo cáo này không trực tiếp liên kết công nghệ này với sự kiện hack Sky Mavis, nhưng đã gây ra sự quan tâm rộng rãi trong ngành.
Một cơ quan an ninh khác đã phát đi cảnh báo an ninh từ tháng 4 năm nay, chỉ ra rằng tổ chức APT của Triều Tiên Lazarus Group đã sử dụng một loạt ứng dụng độc hại để thực hiện các cuộc tấn công APT có định hướng nhằm vào ngành công nghiệp tiền mã hóa. Phương tiện chính của họ bao gồm:
Đóng vai trò cụ thể trên các nền tảng mạng xã hội lớn.
Kết nối với các nhà phát triển trong ngành công nghiệp blockchain
Xây dựng một trang web giao dịch có vẻ bình thường, lợi dụng việc tuyển dụng nhân viên gia công.
Lấy được niềm tin của các nhà phát triển, gửi phần mềm độc hại để tấn công lừa đảo.
Đối với các mối đe dọa như vậy, các chuyên gia an ninh khuyên rằng:
Những người làm trong ngành nên chú ý theo dõi các nền tảng thông tin đe dọa trong nước và quốc tế, thực hiện tự kiểm tra.
Các nhà phát triển thực hiện kiểm tra an toàn cần thiết trước khi chạy chương trình thực thi.
Thiết lập cơ chế không tin cậy, giảm thiểu rủi ro hiệu quả
Người dùng Mac/Windows hãy giữ phần mềm bảo mật mở và cập nhật cơ sở dữ liệu virus kịp thời.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
9 thích
Phần thưởng
9
4
Chia sẻ
Bình luận
0/400
0xOverleveraged
· 08-02 16:08
Thật quá đáng, bọn lừa đảo cũng đã chơi trên Blockchain.
Xem bản gốcTrả lời0
SandwichTrader
· 08-02 16:03
chơi đùa với mọi người một chút rồi Rug Pull á, quá 6 rồi
Xem bản gốcTrả lời0
AirDropMissed
· 08-02 15:55
Có tiền thì mời công nhân, không có tiền thì mời kỹ sư.
Xem bản gốcTrả lời0
DegenWhisperer
· 08-02 15:52
Tuyển dụng xã hội thật sự không có chút thông tin xác minh nào sao... xa vời quá
Công việc giả ẩn chứa bí mật - Bên trong vụ tấn công trị giá 540 triệu đô la của Axie Infinity
Tuyển dụng giả trở thành ngòi nổ lớn nhất trong sự kiện hacker của ngành mã hóa
Một kỹ sư cấp cao của Axie Infinity đã nộp đơn xin gia nhập một công ty mà sau này được xác nhận là hư cấu, hành động này đã gây ra một trong những sự kiện hacker nghiêm trọng nhất trong ngành mã hóa.
Chuỗi bên Ethereum Ronin dành riêng cho Axie Infinity đã bị tấn công bởi hacker vào tháng 3 năm nay, với khoản thiệt hại lên tới 540 triệu đô la mã hóa. Mặc dù chính phủ Hoa Kỳ sau đó đã liên kết sự kiện này với tổ chức hacker Bắc Triều Tiên Lazarus, nhưng các chi tiết cụ thể về cuộc tấn công vẫn chưa được công bố hoàn toàn.
Theo thông tin, sự kiện này liên quan chặt chẽ đến một quảng cáo tuyển dụng giả. Một nguồn tin cho biết, vào đầu năm nay, một người tự xưng là đại diện cho một công ty đã liên hệ với nhân viên của nhà phát triển Axie Infinity, Sky Mavis, thông qua nền tảng mạng xã hội nghề nghiệp, khuyến khích họ nộp đơn xin việc. Sau nhiều vòng phỏng vấn, một kỹ sư của Sky Mavis đã nhận được một đề nghị lương cao.
Sau đó, kỹ sư nhận được một thông báo tuyển dụng giả mạo ở định dạng PDF. Sau khi tải xuống tài liệu này, phần mềm Hacker đã thâm nhập thành công vào hệ thống của Ronin. Hacker ngay lập tức tấn công và kiểm soát 4 trong số 9 trình xác thực trên mạng Ronin, chỉ còn một bước nữa là có thể hoàn toàn kiểm soát toàn bộ mạng.
Sky Mavis đã cho biết trong phân tích sau sự việc vào ngày 27 tháng 4: "Nhân viên của chúng tôi liên tục phải đối mặt với các cuộc tấn công lừa đảo tinh vi qua nhiều kênh truyền thông xã hội, trong đó một nhân viên không may đã bị mắc bẫy. Kẻ tấn công đã lợi dụng quyền truy cập đã có được để xâm nhập vào hạ tầng IT của công ty, từ đó kiểm soát các nút xác thực. Nhân viên đó hiện đã nghỉ việc."
Các xác thực viên đảm nhiệm nhiều chức năng quan trọng trong blockchain, bao gồm tạo các khối giao dịch và cập nhật dữ liệu oracle. Ronin áp dụng cơ chế "bằng chứng quyền lực", tập trung quyền lực vào 9 xác thực viên đáng tin cậy.
Công ty phân tích blockchain Elliptic giải thích: "Chỉ cần 5 trong số 9 người xác thực phê duyệt, thì có thể chuyển tiền. Kẻ tấn công đã thành công trong việc lấy được khóa riêng của 5 người xác thực, đủ để đánh cắp tài sản mã hóa."
Tuy nhiên, Hacker đã thâm nhập vào hệ thống Ronin thông qua việc tuyển dụng giả và chỉ kiểm soát được 4 trong số 9 xác thực viên, còn cần thêm một xác thực viên nữa để hoàn toàn kiểm soát.
Sky Mavis đã tiết lộ trong báo cáo rằng Hacker cuối cùng đã lợi dụng Axie DAO (một tổ chức hỗ trợ hệ sinh thái game) để thực hiện cuộc tấn công. Sky Mavis đã yêu cầu DAO hỗ trợ xử lý khối lượng giao dịch nặng vào tháng 11 năm 2021.
"Axie DAO ủy quyền cho Sky Mavis đại diện cho nó ký kết các giao dịch khác nhau. Mặc dù quyền ủy quyền này đã dừng lại vào tháng 12 năm 2021, nhưng quyền truy cập danh sách giấy phép không bị thu hồi," Sky Mavis giải thích. "Một khi kẻ tấn công xâm nhập vào hệ thống của Sky Mavis, họ có thể lấy chữ ký từ bộ xác thực của Axie DAO."
Sự kiện hacker xảy ra một tháng sau, Sky Mavis đã tăng số lượng nút xác minh lên 11 và cho biết mục tiêu dài hạn là có hơn 100 nút.
Sky Mavis đã nhận được 150 triệu USD vốn tài trợ do một sàn giao dịch dẫn đầu vào đầu tháng 4. Số tiền này sẽ được sử dụng cùng với vốn tự có của công ty để bồi thường cho người dùng bị ảnh hưởng bởi cuộc tấn công. Công ty gần đây đã thông báo sẽ bắt đầu hoàn trả tiền cho người dùng vào ngày 28 tháng 6. Cây cầu Ethereum Ronin, đã tạm dừng do cuộc tấn công của hacker, cũng đã được khởi động lại vào tuần trước.
Gần đây, một cơ quan nghiên cứu bảo mật đã phát hành báo cáo điều tra, tiết lộ rằng tổ chức Lazarus của Triều Tiên đã lạm dụng các nền tảng mạng xã hội nghề nghiệp và phần mềm nhắn tin tức thời để tấn công các nhà thầu trong lĩnh vực hàng không vũ trụ và quốc phòng. Mặc dù báo cáo này không trực tiếp liên kết công nghệ này với sự kiện hack Sky Mavis, nhưng đã gây ra sự quan tâm rộng rãi trong ngành.
Một cơ quan an ninh khác đã phát đi cảnh báo an ninh từ tháng 4 năm nay, chỉ ra rằng tổ chức APT của Triều Tiên Lazarus Group đã sử dụng một loạt ứng dụng độc hại để thực hiện các cuộc tấn công APT có định hướng nhằm vào ngành công nghiệp tiền mã hóa. Phương tiện chính của họ bao gồm:
Đối với các mối đe dọa như vậy, các chuyên gia an ninh khuyên rằng: