Recrutamento falso leva a um grande evento de hacker na indústria de encriptação

Um engenheiro sênior da Axie Infinity se candidatou a um emprego aparentemente atraente, sem saber que isso desencadearia um dos maiores ataques de Hacker da indústria de encriptação.

A sidechain Ronin do Ethereum, exclusivo para Axie Infinity, sofreu uma invasão de Hacker em março deste ano, resultando em perdas de até 540 milhões de dólares em encriptação. Embora o governo dos EUA tenha posteriormente relacionado o incidente a um grupo de hackers norte-coreano, os detalhes específicos da operação ainda não foram totalmente divulgados.

Segundo informações, este incidente originou-se de um anúncio de recrutamento falso.

Fontes informadas revelaram que, no início deste ano, uma pessoa que se dizia representar uma determinada empresa entrou em contacto com funcionários da Sky Mavis, desenvolvedora do Axie Infinity, através de uma plataforma de redes sociais profissionais, incentivando-os a candidatar-se a empregos. Após várias rondas de entrevistas, um engenheiro da Sky Mavis recebeu uma oferta de emprego bem remunerada.

Em seguida, o engenheiro recebeu uma carta de oferta em formato PDF. Ao baixar o documento, o software Hacker conseguiu infiltrar-se no sistema Ronin. O Hacker então atacou e controlou quatro dos nove validadores na rede Ronin, estando a apenas um passo de assumir o controle total da rede.

A Sky Mavis afirmou em um blog publicado posteriormente: "Nossos funcionários continuam a sofrer ataques de phishing avançados de vários canais, e um de nossos funcionários infelizmente caiu na armadilha. Esse funcionário já saiu da empresa. Os atacantes usaram o acesso obtido para penetrar na infraestrutura de TI da empresa, e assim controlaram os nós de validação."

Os validadores desempenham várias funções na blockchain, como a criação de blocos de transações e a atualização de dados. Ronin utiliza um sistema de "prova de autoridade" para assinar transações, concentrando o poder em nove validadores confiáveis.

A instituição de análise de blockchain explicou: "Desde que cinco dos nove validadores aprovem, os fundos podem ser transferidos. O atacante obteve com sucesso as chaves privadas de cinco validadores, o que é suficiente para roubar encriptação de ativos."

Hacker através de recrutamento falso conseguiu penetrar no sistema Ronin, já controla quatro dos nove validadores e precisa controlar mais um para ter o controle total.

Sky Mavis revelou no relatório que o Hacker acabou por utilizar o Axie DAO (uma organização que suporta o ecossistema do jogo) para completar o ataque. A Sky Mavis tinha solicitado a assistência do DAO para lidar com a pesada carga de transações em novembro do ano passado.

"Axie DAO autorizou a Sky Mavis a assinar diversos tipos de transações em seu nome. Esta autorização foi interrompida em dezembro do ano passado, mas o acesso à lista de permissões não foi revogado," explicou a Sky Mavis, "Uma vez que o atacante entra no sistema da Sky Mavis, ele pode obter assinaturas dos validadores do Axie DAO."

Um mês após o ataque, a Sky Mavis aumentou o número de nós de validação para 11 e afirmou que o objetivo a longo prazo é ter mais de 100 nós.

Sky Mavis recusou-se a comentar sobre a forma específica de operação do Hacker.

A Sky Mavis obteve 150 milhões de dólares em financiamento no início de abril para compensar os usuários afetados. A empresa anunciou recentemente que começará a devolver os fundos aos usuários a partir de 28 de junho. A ponte Ethereum Ronin, que havia sido suspensa devido a um ataque Hacker, também foi reiniciada na semana passada.

Agências de segurança recentemente publicaram um relatório que revela como um certo Hacker abusou de plataformas de redes sociais profissionais e software de mensagens instantâneas para atacar contratantes de aeroespacial e defesa. No entanto, o relatório não fez a ligação entre essa tática e o incidente do Hacker da Sky Mavis.

Além disso, uma agência de segurança já havia alertado em abril que um determinado Hacker estava utilizando uma série de aplicações maliciosas para realizar ataques direcionados à indústria de criptomoedas. Seus principais métodos incluem:

1. Disfarçar a identidade nas principais redes sociais
2. Estabelecer contacto com desenvolvedores da indústria de blockchain
3. Criar sites de negociação falsos, publicar informações de recrutamento para terceirização
4. Enviar malware com trojan após obter a confiança dos desenvolvedores

Em relação a esse tipo de ameaça, os especialistas em segurança recomendam:

1. Prestar atenção às informações de segurança e aumentar a consciência de auto-prevenção
2. Realizar verificações de segurança necessárias antes de executar o programa executável
3. Estabelecer um mecanismo de zero confiança, reduzindo efetivamente o risco
4. Mantenha o software de segurança com proteção em tempo real e atualize regularmente a base de dados de vírus.