虚假招聘成为加密行业最大黑客事件导火索

一位Axie Infinity的高级工程师申请加入一家后来被证实是虚构的公司，这一举动引发了加密行业最严重的黑客事件之一。

Axie Infinity专用的以太坊侧链Ronin在今年3月遭受黑客攻击，损失高达5.4亿美元的加密货币。尽管美国政府后来将此事件与朝鲜黑客组织Lazarus有关，但具体的攻击细节尚未完全公开。

据悉，这起事件与一则虚假的招聘广告密切相关。有知情人士透露，今年早些时候，一名自称代表某公司的人通过职业社交平台联系了Axie Infinity开发商Sky Mavis的员工，鼓励他们申请工作。经过多轮面试，Sky Mavis的一名工程师获得了一份高薪offer。

随后，该工程师收到了一份PDF格式的伪造录用通知书。在下载该文档后，黑客软件成功渗透到Ronin的系统中。黑客随即攻击并控制了Ronin网络上9个验证器中的4个，只差一步就能完全掌控整个网络。

Sky Mavis在4月27日发布的事后分析中表示："我们的员工持续遭受各种社交渠道的高级网络钓鱼攻击，其中一名员工不幸中招。攻击者利用获取的访问权限渗透公司IT基础设施，进而控制了验证节点。该员工目前已离职。"

验证器在区块链中承担多项重要功能，包括创建交易块和更新数据预言机。Ronin采用"权威证明"机制，将权力集中在9个受信任的验证者手中。

区块链分析公司Elliptic解释道："只要9个验证者中有5个批准，就可以转移资金。攻击者成功获取了5个验证者的私钥，足以窃取加密资产。"

然而，黑客通过虚假招聘渗透Ronin系统后，仅控制了9个验证者中的4个，还需要另一个验证者才能完全掌控。

Sky Mavis在报告中透露，黑客最终利用Axie DAO（一个支持游戏生态系统的组织）完成了攻击。Sky Mavis曾在2021年11月请求DAO协助处理繁重的交易负载。

"Axie DAO授权Sky Mavis代表其签署各种交易。虽然这项授权于2021年12月停止，但许可名单访问权限未被撤销，"Sky Mavis解释道。"一旦攻击者进入Sky Mavis系统，就能从Axie DAO验证器获取签名。"

黑客事件发生一个月后，Sky Mavis将验证节点数量增至11个，并表示长期目标是拥有100多个节点。

Sky Mavis在4月初获得了由某交易平台牵头的1.5亿美元融资。这笔资金将与公司自有资金一起用于补偿受攻击影响的用户。公司近期表示将于6月28日开始向用户返还资金。此前因黑客攻击而暂停的Ronin以太坊桥也已于上周重新启动。

近期，一家安全研究机构发布调查报告，揭示朝鲜Lazarus组织滥用职业社交平台和即时通讯软件，针对航空航天和国防承包商进行攻击。虽然该报告未直接将这种技术与Sky Mavis黑客事件联系起来，但引发了业界的广泛关注。

另一家安全机构早在今年4月就发布安全警告，指出朝鲜APT组织Lazarus Group使用一系列恶意应用程序针对数字货币行业进行定向APT攻击。他们的主要手段包括：

1. 在各大社交媒体平台上扮演特定角色
2. 与区块链行业开发人员建立联系
3. 建立看似正常的交易网站，打着招募外包员工的幌子
4. 获取开发人员信任后，发送恶意软件进行钓鱼攻击

针对这类威胁，安全专家建议：

1. 行业从业者应密切关注国内外威胁情报平台，做好自我检查
2. 开发人员运行可执行程序前进行必要的安全检查
3. 建立零信任机制，有效降低风险
4. Mac/Windows用户保持安全软件实时防护开启，并及时更新病毒库