虚假招聘广告导致加密行业重大黑客事件

一位Axie Infinity的高级工程师申请工作的经历，引发了加密行业最严重的黑客攻击之一。这起事件涉及Axie Infinity专用的以太坊侧链Ronin，在今年3月的一次攻击中损失了5.4亿美元的加密货币。尽管美国政府后来将此事与朝鲜黑客组织Lazarus联系起来，但攻击的具体细节尚未完全披露。

据了解，这起事件与一则虚假的招聘广告有关。消息人士透露，今年早些时候，一名自称代表某公司的人通过职业社交平台联系了Axie Infinity开发商Sky Mavis的员工，鼓励他们申请工作。经过多轮面试后，Sky Mavis的一名工程师收到了一份高薪工作offer。

随后，该工程师收到了一封伪造的PDF格式录取信。在下载文档后，黑客软件成功渗透到Ronin系统。黑客随即攻击并控制了Ronin网络上9个验证器中的4个，仅差一个就能完全掌控网络。

Sky Mavis在4月27日的事后报告中提到："我们的员工持续遭受各种社交渠道的高级网络钓鱼攻击，其中一名员工不幸被入侵。该员工已不再在公司任职。攻击者利用获得的访问权限渗透公司IT基础设施，进而获取了验证节点的访问权限。"

验证器在区块链中承担多项功能，包括创建交易块和更新数据预言机。Ronin采用"权威证明"系统进行交易签署，将权力集中在9个受信任的验证者手中。

区块链分析公司Elliptic解释道："只要9个验证者中有5个批准，资金就可以被转出。攻击者成功获取了5个验证者的私钥，足以窃取加密资产。"

然而，黑客通过虚假招聘广告成功入侵Ronin系统后，仅控制了9个验证者中的4个，还需要另一个验证者才能完全掌控。

Sky Mavis披露，黑客最终利用Axie DAO（一个支持游戏生态系统的组织）完成了攻击。Sky Mavis曾在2021年11月请求DAO协助处理大量交易。

"Axie DAO允许Sky Mavis代表其签署各种交易。这一做法于2021年12月停止，但未撤销许可名单访问权限，"Sky Mavis在博客文章中表示，"一旦攻击者进入Sky Mavis系统，就能从Axie DAO验证器获得签名。"

黑客攻击发生一个月后，Sky Mavis将验证节点数量增加到11个，并表示长期目标是拥有100多个节点。

Sky Mavis在4月初获得了由某交易平台牵头的1.5亿美元融资。这笔资金将与公司自有资金一起用于补偿受攻击影响的用户。公司最近宣布将于6月28日开始向用户返还资金。在黑客攻击后暂停的Ronin以太坊桥也于上周重新启动。

今天早些时候，ESET Research发布了一项调查，揭示朝鲜的Lazarus组织滥用职业社交平台和即时通讯软件，针对航空航天和国防承包商。不过，该报告并未将这一技术与Sky Mavis黑客事件联系起来。

此外，今年4月，一家安全机构发布安全提醒，指出朝鲜APT组织Lazarus Group使用一系列恶意应用程序对数字货币行业进行定向APT攻击。其具体方式包括：

1. 在各大社交媒体中扮演不同角色，充分利用社会工程学原理。
2. 与区块链行业开发人员建立联系，为后续行动做准备。
3. 甚至建立看似正常的交易网站，以外包员工招募等为幌子。
4. 骗取开发人员信任后，发送恶意软件进行钓鱼攻击。

针对此类事件，安全专家建议：

1. 行业从业人员应密切关注各大威胁平台的安全情报，做好自我排查，保持警惕。
2. 开发人员在运行可执行程序前，应进行必要的安全检查。
3. 实施零信任机制，有效降低相关威胁风险。
4. Mac/Windows实机用户应保持安全软件实时防护开启，并及时更新病毒库。