Les ingénieurs d'Axie Infinity victimes d'un piège de recrutement frauduleux, déclenchant un événement majeur de hacking dans le secteur du chiffrement
Un événement de candidature au travail remarquable a déclenché l'une des plus grandes attaques de hackers de l'industrie du chiffrement. Un ingénieur senior d'Axie Infinity a montré un vif intérêt pour une entreprise qui s'est ensuite révélée être fictive, ce qui a finalement conduit à cette grave conséquence.
En mars de cette année, la sidechain Ethereum dédiée à Axie Infinity, Ronin, a été victime d'une attaque de Hacker, entraînant une perte de 540 millions de dollars en chiffrement. Bien que le gouvernement américain ait par la suite lié l'incident au groupe de hackers nord-coréen Lazarus, les détails spécifiques sur l'exploitation de la vulnérabilité n'ont pas encore été entièrement divulgués.
Selon les rapports, cet incident est étroitement lié à une fausse annonce de recrutement.
Deux personnes anonymes au courant des faits ont révélé qu'au début de l'année, une personne se présentant comme représentant d'une entreprise fictive a contacté des employés de Sky Mavis, le développeur d'Axie Infinity, via un réseau social professionnel, les encourageant à postuler. Après plusieurs entretiens, un ingénieur de Sky Mavis a reçu une offre d'emploi bien rémunérée.
Ensuite, l'ingénieur a reçu une fausse lettre d'embauche au format PDF. Après avoir téléchargé ce document, le logiciel Hacker a réussi à pénétrer dans le système de Ronin. Cela a permis au Hacker d'attaquer et de contrôler quatre des neuf nœuds de validation sur le réseau Ronin, à un nœud près pour prendre complètement le contrôle de l'ensemble du réseau.
Sky Mavis a indiqué dans son rapport d'analyse post-incident publié le 27 avril : "Nos employés continuent de faire face à divers attaques de phishing avancées sur les réseaux sociaux, et un de nos employés a malheureusement été compromis. Les attaquants ont utilisé cet accès pour infiltrer l'infrastructure informatique de Sky Mavis et obtenir un accès aux nœuds de validation. Cet employé n'est plus en poste dans l'entreprise."
Les nœuds de validation jouent plusieurs rôles importants dans la blockchain, y compris la génération de blocs de transactions et la mise à jour des oracles de données. Ronin utilise un système de "preuve d'autorité" pour signer les transactions, concentrant le pouvoir entre les mains de neuf validateurs de confiance.
Une société d'analyse blockchain a expliqué dans un article de blog publié en avril : "Dès que cinq des neuf validateurs approuvent, les fonds peuvent être transférés. Les attaquants ont réussi à obtenir les clés privées de cinq validateurs, ce qui est suffisant pour voler des actifs en chiffrement."
Bien que les hackers aient réussi à infiltrer le système Ronin grâce à de fausses annonces de recrutement, ils ne contrôlaient que quatre des neuf validateurs et avaient besoin d'un validateur supplémentaire pour compléter leur contrôle.
Sky Mavis a révélé dans son rapport post-incident que le Hacker a utilisé Axie DAO (une organisation qui soutient l'écosystème de jeu) pour réaliser l'attaque. Sky Mavis avait demandé en novembre 2021 l'aide du DAO pour gérer la lourde charge de transactions.
"Axie DAO permet à Sky Mavis de signer diverses transactions en son nom. Cette pratique a été interrompue en décembre 2021, mais l'accès à la liste des autorisations n'a pas été révoqué, " a déclaré Sky Mavis dans un article de blog. "Une fois que les hackers ont obtenu l'accès au système de Sky Mavis, ils peuvent obtenir des signatures des validateurs d'Axie DAO."
Un mois après l'attaque du Hacker, Sky Mavis a porté le nombre de ses nœuds de validation à 11 et a déclaré dans un article de blog que l'objectif à long terme est d'avoir plus de 100 nœuds.
Sky Mavis a refusé de commenter sur les modalités précises de l'intrusion des hackers.
Début avril, Sky Mavis a levé 150 millions de dollars lors d'une ronde de financement. Ces fonds seront utilisés avec les fonds propres de l'entreprise pour indemniser les utilisateurs touchés par l'attaque. La société a récemment déclaré qu'elle commencerait à rembourser les utilisateurs à partir du 28 juin. Le pont Ethereum Ronin, qui avait été soudainement arrêté après l'attaque des hackers, a également redémarré la semaine dernière.
Récemment, une enquête a révélé que le groupe Lazarus de Corée du Nord abusait des plateformes de réseaux sociaux professionnels et des logiciels de messagerie instantanée pour cibler des entrepreneurs dans le secteur aérospatial et de la défense. Cependant, le rapport n'a pas établi de lien entre cette technique et l'incident de piratage de Sky Mavis.
De plus, en avril de cette année, une agence de sécurité a publié un avertissement de sécurité, signalant que le groupe APT nord-coréen Lazarus Group utilise une série d'applications malveillantes pour mener des attaques APT ciblées contre l'industrie des monnaies numériques. Les méthodes spécifiques comprennent :
Ce groupe de hackers tire pleinement parti des principes de l'ingénierie sociale en jouant différents rôles sur les réseaux sociaux.
Discuter avec les développeurs de l'industrie de la blockchain, renforcer les relations et se préparer pour les actions futures.
Cette organisation de Hacker a même créé son propre site de trading, se présentant sous des prétextes tels que le recrutement de travailleurs sous-traitants, afin d'obtenir la confiance des développeurs.
Profiter de l'occasion pour envoyer des logiciels malveillants liés à des attaques de phishing.
Pour ce genre d'événements, les experts en sécurité recommandent :
Les professionnels du secteur doivent prêter une attention particulière aux renseignements de sécurité des principales plateformes de menaces tant nationales qu'internationales, effectuer des auto-vérifications et rester en alerte.
Les développeurs doivent effectuer les vérifications de sécurité nécessaires avant d'exécuter le programme.
Mettre en œuvre un mécanisme de zéro confiance pour réduire efficacement les risques associés à ce type de menace.
Les utilisateurs de Mac/Windows doivent maintenir la protection en temps réel de leur logiciel de sécurité activée et mettre à jour régulièrement la dernière base de données de virus.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
20 J'aime
Récompense
20
9
Partager
Commentaire
0/400
AirdropHarvester
· 08-04 12:36
Des adversaires qui se présentent directement à la porte ?
Voir l'originalRépondre0
ForkItAll
· 08-04 12:24
Le talent est la plus grande faille.
Voir l'originalRépondre0
shadowy_supercoder
· 08-02 16:50
On peut encore se faire prendre pour des cons comme ça.
Voir l'originalRépondre0
0xOverleveraged
· 08-02 03:55
pigeons pris jusqu'en juin
Voir l'originalRépondre0
ProveMyZK
· 08-01 16:02
J'avais dit qu'il ne fallait vraiment pas cliquer sur le lien à la légère.
Voir l'originalRépondre0
LuckyHashValue
· 08-01 16:02
Cette vague a gagné.
Voir l'originalRépondre0
ChainWanderingPoet
· 08-01 16:02
Les ingénieurs sont vraiment faciles à duper, n'est-ce pas ?
Voir l'originalRépondre0
Degentleman
· 08-01 15:59
10 ans d'expérience en recherche Blockchain, vétéran de l'univers de la cryptomonnaie, suivre l'écosystème Ethereum / joueur Heavy Position sur Sushi / utilisateur Depth d'AAVE
Un vrai repas de pigeons.
Voir l'originalRépondre0
StableBoi
· 08-01 15:46
Trading des cryptomonnaies sombre, ne pas rêver en plein jour
Axie Infinity victime d'une arnaque à l'embauche entraînant le vol de 540 millions de dollars en cryptoactifs
Les ingénieurs d'Axie Infinity victimes d'un piège de recrutement frauduleux, déclenchant un événement majeur de hacking dans le secteur du chiffrement
Un événement de candidature au travail remarquable a déclenché l'une des plus grandes attaques de hackers de l'industrie du chiffrement. Un ingénieur senior d'Axie Infinity a montré un vif intérêt pour une entreprise qui s'est ensuite révélée être fictive, ce qui a finalement conduit à cette grave conséquence.
En mars de cette année, la sidechain Ethereum dédiée à Axie Infinity, Ronin, a été victime d'une attaque de Hacker, entraînant une perte de 540 millions de dollars en chiffrement. Bien que le gouvernement américain ait par la suite lié l'incident au groupe de hackers nord-coréen Lazarus, les détails spécifiques sur l'exploitation de la vulnérabilité n'ont pas encore été entièrement divulgués.
Selon les rapports, cet incident est étroitement lié à une fausse annonce de recrutement.
Deux personnes anonymes au courant des faits ont révélé qu'au début de l'année, une personne se présentant comme représentant d'une entreprise fictive a contacté des employés de Sky Mavis, le développeur d'Axie Infinity, via un réseau social professionnel, les encourageant à postuler. Après plusieurs entretiens, un ingénieur de Sky Mavis a reçu une offre d'emploi bien rémunérée.
Ensuite, l'ingénieur a reçu une fausse lettre d'embauche au format PDF. Après avoir téléchargé ce document, le logiciel Hacker a réussi à pénétrer dans le système de Ronin. Cela a permis au Hacker d'attaquer et de contrôler quatre des neuf nœuds de validation sur le réseau Ronin, à un nœud près pour prendre complètement le contrôle de l'ensemble du réseau.
Sky Mavis a indiqué dans son rapport d'analyse post-incident publié le 27 avril : "Nos employés continuent de faire face à divers attaques de phishing avancées sur les réseaux sociaux, et un de nos employés a malheureusement été compromis. Les attaquants ont utilisé cet accès pour infiltrer l'infrastructure informatique de Sky Mavis et obtenir un accès aux nœuds de validation. Cet employé n'est plus en poste dans l'entreprise."
Les nœuds de validation jouent plusieurs rôles importants dans la blockchain, y compris la génération de blocs de transactions et la mise à jour des oracles de données. Ronin utilise un système de "preuve d'autorité" pour signer les transactions, concentrant le pouvoir entre les mains de neuf validateurs de confiance.
Une société d'analyse blockchain a expliqué dans un article de blog publié en avril : "Dès que cinq des neuf validateurs approuvent, les fonds peuvent être transférés. Les attaquants ont réussi à obtenir les clés privées de cinq validateurs, ce qui est suffisant pour voler des actifs en chiffrement."
Bien que les hackers aient réussi à infiltrer le système Ronin grâce à de fausses annonces de recrutement, ils ne contrôlaient que quatre des neuf validateurs et avaient besoin d'un validateur supplémentaire pour compléter leur contrôle.
Sky Mavis a révélé dans son rapport post-incident que le Hacker a utilisé Axie DAO (une organisation qui soutient l'écosystème de jeu) pour réaliser l'attaque. Sky Mavis avait demandé en novembre 2021 l'aide du DAO pour gérer la lourde charge de transactions.
"Axie DAO permet à Sky Mavis de signer diverses transactions en son nom. Cette pratique a été interrompue en décembre 2021, mais l'accès à la liste des autorisations n'a pas été révoqué, " a déclaré Sky Mavis dans un article de blog. "Une fois que les hackers ont obtenu l'accès au système de Sky Mavis, ils peuvent obtenir des signatures des validateurs d'Axie DAO."
Un mois après l'attaque du Hacker, Sky Mavis a porté le nombre de ses nœuds de validation à 11 et a déclaré dans un article de blog que l'objectif à long terme est d'avoir plus de 100 nœuds.
Sky Mavis a refusé de commenter sur les modalités précises de l'intrusion des hackers.
Début avril, Sky Mavis a levé 150 millions de dollars lors d'une ronde de financement. Ces fonds seront utilisés avec les fonds propres de l'entreprise pour indemniser les utilisateurs touchés par l'attaque. La société a récemment déclaré qu'elle commencerait à rembourser les utilisateurs à partir du 28 juin. Le pont Ethereum Ronin, qui avait été soudainement arrêté après l'attaque des hackers, a également redémarré la semaine dernière.
Récemment, une enquête a révélé que le groupe Lazarus de Corée du Nord abusait des plateformes de réseaux sociaux professionnels et des logiciels de messagerie instantanée pour cibler des entrepreneurs dans le secteur aérospatial et de la défense. Cependant, le rapport n'a pas établi de lien entre cette technique et l'incident de piratage de Sky Mavis.
De plus, en avril de cette année, une agence de sécurité a publié un avertissement de sécurité, signalant que le groupe APT nord-coréen Lazarus Group utilise une série d'applications malveillantes pour mener des attaques APT ciblées contre l'industrie des monnaies numériques. Les méthodes spécifiques comprennent :
Ce groupe de hackers tire pleinement parti des principes de l'ingénierie sociale en jouant différents rôles sur les réseaux sociaux.
Discuter avec les développeurs de l'industrie de la blockchain, renforcer les relations et se préparer pour les actions futures.
Cette organisation de Hacker a même créé son propre site de trading, se présentant sous des prétextes tels que le recrutement de travailleurs sous-traitants, afin d'obtenir la confiance des développeurs.
Profiter de l'occasion pour envoyer des logiciels malveillants liés à des attaques de phishing.
Pour ce genre d'événements, les experts en sécurité recommandent :
Les professionnels du secteur doivent prêter une attention particulière aux renseignements de sécurité des principales plateformes de menaces tant nationales qu'internationales, effectuer des auto-vérifications et rester en alerte.
Les développeurs doivent effectuer les vérifications de sécurité nécessaires avant d'exécuter le programme.
Mettre en œuvre un mécanisme de zéro confiance pour réduire efficacement les risques associés à ce type de menace.
Les utilisateurs de Mac/Windows doivent maintenir la protection en temps réel de leur logiciel de sécurité activée et mettre à jour régulièrement la dernière base de données de virus.
Un vrai repas de pigeons.