紅極一時的 P2E (邊玩邊賺) Cryptocurrency game axie infinity,在今年三月發生其側鏈 Ronin 跨鏈橋駭客事件,由於攻擊者控制了九個 Ronin 驗證節點Private key中的五個,導致 173,600 個以太幣和 2550 萬美元丟失。axie Infinity 甚至在近一週才發現此事,並稱沒有追蹤系統監測大量資金外流。今年六月底,Ronin 總算恢復官方跨鏈橋提幣,補償所有用戶損失,並且加入可疑提款防範機制。
私鑰洩露的原因?
至於Private key洩露的原因究竟為何?美國政府調查是將其歸咎至北韓駭客組織 Lazarus,但未披露攻擊細節 ; 媒體 The block 近期獲爆料講述可能攻擊路徑:
據兩名知情人士稱,Axie Infinity 開發商 Sky Mavis 的一名高階工程師,遭騙在 LinkedIn 面試了一間根本不存在的公司,因為下載了虛假職缺的應聘 PDF 文件後,讓間諜軟體入侵了 Ronin 的系統。
(補充閱讀:PDF網路釣魚攻擊解釋,專騙創作者、專案方及 KOL)
Sky Mavis 在事後檢討文件中也有提及:多位員工在不同的社交平台上遭受高端的魚叉式網路釣魚攻擊 (spear phishing),而有一位員工成功受到攻擊。該名員工已離職。但駭客因此有機會能夠進而侵入 Sky Mavis 的基礎設施,並取得驗證節點的掌控權。
The Block 報導,由於控制驗證機制至少需要五個驗證節點,而上述的徵才釣魚只讓駭客掌握四個。剩下一個則是透過支持遊戲生態的去中心化自治組織 Axie dao 來完成。Sky Mavis 曾在 2021 年 11 月委託 Axie DAO 處理繁重的交易負載,因此 Axie DAO 可代表 Sky Mavis 簽署多樣交易,儘管只有一個月的時間就不再繼續,但 Axie DAO 仍在許可名單中並未撤回。因此在駭客入侵 Sky Mavis 系統後,又拿到了 Axie DAO 驗證節點的簽名。
Lazarus 同樣手法仍在橫行
ESET Research 發布研究顯示,北韓駭客組織 Lazarus 透過 LinkedIn 假冒招聘人員,並用 WhatsApp、Slack 建立聯繫,接近世界各地的國防領域相關的員工,建立信任後再發送惡意組件,進行間諜活動與竊取資金。該報告中也提到 Axie Infinity 的攻擊事件,但未直接提及攻擊手法是否相同。分析公司 Elliptic 先前曾針對 Axie Infinity 攻擊後的Money Laundering模式推定,與 Lazarus 慣用手法相同。
本文轉自網路,如有侵權請來信告知,本網站不代表任何投資建議,僅提供資訊,若用戶有任何投資相關行為皆與本站無關
本網站所載的任何資訊均不構成投資建議,投資有賺有賠,投資人應獨立判斷,審慎投資,自負風險
