轉職搞爆前公司!丟失六億美金源自一份PDF,Axie Infinity工程師誤信假徵才惹禍
紅極一時的 P2E (邊玩邊賺) 鏈遊 Axie Infinity,在今年三月發生其側鏈 Ronin 跨鏈橋駭客事件,由於攻擊者控制了九個 Ronin 驗證節點私鑰中的五個,導致 173,600 個以太幣和 2550 萬美元丟失。Axie Infinity 甚至在近一週才發現此事,並稱沒有追蹤系統監測大量資金外流。今年六月底,Ronin 總算恢復官方跨鏈橋提幣,補償所有用戶損失,並且加入可疑提款防範機制。
私鑰洩露的原因?
至於私鑰洩露的原因究竟為何?美國政府調查是將其歸咎至北韓駭客組織 Lazarus,但未披露攻擊細節 ; 媒體 The Block 近期獲爆料講述可能攻擊路徑:
據兩名知情人士稱,Axie Infinity 開發商 Sky Mavis 的一名高階工程師,遭騙在 LinkedIn 面試了一間根本不存在的公司,因為下載了虛假職缺的應聘 PDF 文件後,讓間諜軟體入侵了 Ronin 的系統。
廣告 - 內文未完請往下捲動
(補充閱讀:PDF網路釣魚攻擊解釋,專騙創作者、專案方及 KOL)
Sky Mavis 在事後檢討文件中也有提及:多位員工在不同的社交平台上遭受高端的魚叉式網路釣魚攻擊 (spear phishing),而有一位員工成功受到攻擊。該名員工已離職。但駭客因此有機會能夠進而侵入 Sky Mavis 的基礎設施,並取得驗證節點的掌控權。
The Block 報導,由於控制驗證機制至少需要五個驗證節點,而上述的徵才釣魚只讓駭客掌握四個。剩下一個則是透過支持遊戲生態的去中心化自治組織 Axie DAO 來完成。Sky Mavis 曾在 2021 年 11 月委託 Axie DAO 處理繁重的交易負載,因此 Axie DAO 可代表 Sky Mavis 簽署多樣交易,儘管只有一個月的時間就不再繼續,但 Axie DAO 仍在許可名單中並未撤回。因此在駭客入侵 Sky Mavis 系統後,又拿到了 Axie DAO 驗證節點的簽名。
Lazarus 同樣手法仍在橫行
ESET Research 發布研究顯示,北韓駭客組織 Lazarus 透過 LinkedIn 假冒招聘人員,並用 WhatsApp、Slack 建立聯繫,接近世界各地的國防領域相關的員工,建立信任後再發送惡意組件,進行間諜活動與竊取資金。該報告中也提到 Axie Infinity 的攻擊事件,但未直接提及攻擊手法是否相同。分析公司 Elliptic 先前曾針對 Axie Infinity 攻擊後的洗錢模式推定,與 Lazarus 慣用手法相同。