虛假招聘廣告導致加密行業重大黑客事件

一位Axie Infinity的高級工程師申請工作的經歷，引發了加密行業最嚴重的黑客攻擊之一。這起事件涉及Axie Infinity專用的以太坊側鏈Ronin，在今年3月的一次攻擊中損失了5.4億美元的加密貨幣。盡管美國政府後來將此事與朝鮮黑客組織Lazarus聯繫起來，但攻擊的具體細節尚未完全披露。

據了解，這起事件與一則虛假的招聘廣告有關。消息人士透露，今年早些時候，一名自稱代表某公司的人通過職業社交平台聯繫了Axie Infinity開發商Sky Mavis的員工，鼓勵他們申請工作。經過多輪面試後，Sky Mavis的一名工程師收到了一份高薪工作offer。

隨後，該工程師收到了一封僞造的PDF格式錄取信。在下載文檔後，黑客軟件成功滲透到Ronin系統。黑客隨即攻擊並控制了Ronin網路上9個驗證器中的4個，僅差一個就能完全掌控網路。

Sky Mavis在4月27日的事後報告中提到："我們的員工持續遭受各種社交渠道的高級網絡釣魚攻擊，其中一名員工不幸被入侵。該員工已不再在公司任職。攻擊者利用獲得的訪問權限滲透公司IT基礎設施，進而獲取了驗證節點的訪問權限。"

驗證器在區塊鏈中承擔多項功能，包括創建交易塊和更新數據預言機。Ronin採用"權威證明"系統進行交易簽署，將權力集中在9個受信任的驗證者手中。

區塊鏈分析公司Elliptic解釋道："只要9個驗證者中有5個批準，資金就可以被轉出。攻擊者成功獲取了5個驗證者的私鑰，足以竊取加密資產。"

然而，黑客通過虛假招聘廣告成功入侵Ronin系統後，僅控制了9個驗證者中的4個，還需要另一個驗證者才能完全掌控。

Sky Mavis披露，黑客最終利用Axie DAO（一個支持遊戲生態系統的組織）完成了攻擊。Sky Mavis曾在2021年11月請求DAO協助處理大量交易。

"Axie DAO允許Sky Mavis代表其簽署各種交易。這一做法於2021年12月停止，但未撤銷許可名單訪問權限，"Sky Mavis在博客文章中表示，"一旦攻擊者進入Sky Mavis系統，就能從Axie DAO驗證器獲得籤名。"

黑客攻擊發生一個月後，Sky Mavis將驗證節點數量增加到11個，並表示長期目標是擁有100多個節點。

Sky Mavis在4月初獲得了由某交易平台牽頭的1.5億美元融資。這筆資金將與公司自有資金一起用於補償受攻擊影響的用戶。公司最近宣布將於6月28日開始向用戶返還資金。在黑客攻擊後暫停的Ronin以太坊橋也於上周重新啓動。

今天早些時候，ESET Research發布了一項調查，揭示朝鮮的Lazarus組織濫用職業社交平台和即時通訊軟件，針對航空航天和國防承包商。不過，該報告並未將這一技術與Sky Mavis黑客事件聯繫起來。

此外，今年4月，一家安全機構發布安全提醒，指出朝鮮APT組織Lazarus Group使用一系列惡意應用程序對數字貨幣行業進行定向APT攻擊。其具體方式包括：

1. 在各大社交媒體中扮演不同角色，充分利用社會工程學原理。
2. 與區塊鏈行業開發人員建立聯繫，爲後續行動做準備。
3. 甚至建立看似正常的交易網站，以外包員工招募等爲幌子。
4. 騙取開發人員信任後，發送惡意軟件進行釣魚攻擊。

針對此類事件，安全專家建議：

1. 行業從業人員應密切關注各大威脅平台的安全情報，做好自我排查，保持警惕。
2. 開發人員在運行可執行程序前，應進行必要的安全檢查。
3. 實施零信任機制，有效降低相關威脅風險。
4. Mac/Windows實機用戶應保持安全軟件實時防護開啓，並及時更新病毒庫。