Ложные вакансии приводят к серьезным хакерским инцидентам в сфере шифрования

Старший инженер Axie Infinity подал заявление на на вид привлекательную работу, не подозревая, что это приведет к одной из крупнейших хакерских атак в индустрии шифрования.

Эксклюзивная эфириум-цепочка Axie Infinity Ronin в марте этого года подверглась нападению хакеров, в результате чего был потерян криптовалюты на сумму до 540 миллионов долларов. Хотя позже правительство США связало этот инцидент с северокорейской хакерской группой, конкретные детали операции все еще не были полностью раскрыты.

Согласно информации, этот инцидент возник из-за ложного объявления о найме.

По данным информированных источников, в начале этого года человек, представившийся представителем одной компании, связался с сотрудниками разработчика Axie Infinity Sky Mavis через профессиональную социальную сеть, побуждая их подать заявки на работу. После нескольких раундов собеседований один из инженеров Sky Mavis получил предложение о высокооплачиваемой работе.

Затем инженер получил уведомление о приеме на работу в формате PDF. При загрузке документа шифрование успешно проникло в систему Ronin. Хакер сразу же атаковал и контролировал четыре из девяти валидаторов в сети Ronin, всего в одном шаге от полного контроля над сетью.

Sky Mavis в своем блоге после инцидента заявила: "Наши сотрудники продолжают подвергаться высококлассным фишинг-атакам через различные каналы, и один из сотрудников, к сожалению, попался на удочку. Этот сотрудник уволился. Злоумышленники использовали полученный доступ для проникновения в ИТ-инфраструктуру компании, что привело к контролю над узлами верификации."

Валидаторы выполняют множество функций в блокчейне, таких как создание блоков транзакций и обновление данных. Ronin использует систему "доказательства полномочий" для подписания транзакций, сосредоточив власть в руках девяти доверенных валидаторов.

Аналитическое агентство по блокчейну объяснило: "Как только пять из девяти валидаторов одобрят, средства могут быть переведены. Злоумышленник успешно получил приватные ключи пяти валидаторов, что достаточно для кражи шифрования активов."

Хакер через ложные вакансии успешно проник в систему Ronin и контролирует четверых из девяти валидаторов, ему нужно захватить еще одного, чтобы полностью овладеть.

Sky Mavis в отчете сообщила, что Хакер в конечном итоге использовал Axie DAO (организацию, поддерживающую игровую экосистему) для осуществления атаки. Sky Mavis ранее в ноябре прошлого года запрашивала помощь у DAO в обработке тяжелых торговых нагрузок.

"Axie DAO уполномочил Sky Mavis подписывать различные транзакции от его имени. Это полномочие было прекращено в декабре прошлого года, но доступ к списку разрешений не был отозван," объяснил Sky Mavis, "как только хакер попадает в систему Sky Mavis, он может получить подпись от валидатора Axie DAO."

Через месяц после атаки Sky Mavis увеличила количество узлов для верификации до 11 и заявила, что долгосрочная цель состоит в том, чтобы иметь более 100 узлов.

Sky Mavis отказался комментировать конкретные действия Хакера.

Sky Mavis привлекла 150 миллионов долларов финансирования в начале апреля для компенсации пострадавшим пользователям. Компания недавно заявила, что начнет возвращать средства пользователям с 28 июня. Ранее приостановленный из-за хакерской атаки мост Ethereum Ronin также был перезапущен на прошлой неделе.

Недавно службы безопасности опубликовали отчет, в котором раскрывается, что некая Хакерская организация злоупотребляет профессиональными социальными платформами и программами мгновенных сообщений, нацеливаясь на подрядчиков в области аэрокосмической и оборонной промышленности. Однако в отчете не было связано данное поведение с инцидентом с хакерами Sky Mavis.

Кроме того, в апреле некоторые учреждения безопасности предупредили, что одна Хакерская организация использует ряд вредоносных приложений для целевых атак на индустрию цифровых валют. Их основные методы включают:

1. Маскировать личность в крупных социальных сетях
2. Установите контакт с разработчиками в индустрии блокчейн
3. Создание поддельного торгового сайта, публикация информации о вакансиях на аутсорсинг
4. Получите доверие разработчиков, а затем отправьте вредоносное ПО с трояном

В ответ на такие угрозы эксперты по безопасности рекомендуют:

1. Внимательно следите за информацией о безопасности, повышайте осведомленность о собственной защите
2. Проведение необходимых проверок безопасности перед запуском исполняемой программы
3. Установить механизм нулевого доверия, эффективно снизить риски
4. Поддерживайте защитное программное обеспечение с реальной защитой и своевременно обновляйте вирусные базы.