Приваблива заява на роботу виявляє масштабну подію шифрування хакерів

Одна з старших інженерів подала заявку на роботу в уявній компанії, що призвело до одного з найсерйозніших хакерських атак у сфері шифрування. Ця подія стосувалася ексклюзивного ефірного сайдчейну Ronin гри Axie Infinity, що призвело до втрати 540 мільйонів доларів у криптовалюті.

Відомо, що на початку цього року особа, яка представилася як представник певної компанії, зв'язалася з працівниками розробника Axie Infinity Sky Mavis через професійну соціальну мережу, заохочуючи їх подавати заявки на роботу. Після кількох раундів співбесід один інженер отримав високооплачувану посаду. Після цього цей інженер отримав підроблений лист про прийняття на роботу у форматі PDF, завантаження цього файлу дозволило Хакер програмному забезпеченню проникнути в систему Ronin.

Хакер успішно атакував і контролював чотири з дев'яти валідаторів у мережі Ronin. Sky Mavis у звіті після інциденту повідомила, що один зі співробітників зазнав вторгнення, і зловмисник використав отримані права доступу для проникнення в IT-інфраструктуру компанії та отримав доступ до валідаційних вузлів.

Ronin використовує систему "доказу повноважень" для підписання транзакцій, централізуючи владу в руках дев'яти довірених валідаторів. Компанія з аналізу блокчейнів Elliptic пояснила, що якщо п'ять з дев'яти валідаторів схвалять, то можна буде перевести кошти. Зловмисник успішно отримав приватні ключі п'яти валідаторів, в результаті чого було викрадено шифрування активів.

Хакер через фальшиві вакансії успішно проник у систему Ronin, а також скористався правами Axie DAO для завершення атаки. Sky Mavis у листопаді 2021 року звертався до DAO за допомогою у обробці великого обсягу транзакцій, але після зупинки в грудні 2021 року не скасував доступ до списку дозволів.

Атака сталася місяць тому, Sky Mavis збільшила кількість валідаційних вузлів до 11 і заявила, що її довгострокова мета – мати понад 100 вузлів. Компанія на початку квітня отримала 150 мільйонів доларів фінансування для компенсації користувачам, яких торкнулася атака. Нещодавно компанія оголосила, що 28 червня почне повертати кошти користувачам, а міст Ethereum Ronin також було поновлено.

Варто зазначити, що безпекові установи ще в квітні опублікували попередження щодо безпеки, вказавши на те, що підтримувані певною країною Хакерські організації використовують соціальні мережі для цілеспрямованих атак на індустрію цифрових валют. Вони використовують принципи соціальної інженерії, граючи ролі на великих соціальних платформах, наближаючись до розробників у сфері блокчейн, навіть створюючи фальшиві торгові сайти для здобуття довіри, а потім надсилають шкідливе програмне забезпечення для фішингових атак.

Щодо таких загроз, експерти з безпеки радять працівникам галузі уважно стежити за безпековою інформацією з основних загроз, проводити самоінспекцію; розробники повинні проводити необхідні перевірки безпеки перед запуском виконуваних програм; встановити механізм нульового довіри; підтримувати реальний захист безпекового програмного забезпечення та своєчасно оновлювати бази вірусів. Ці заходи можуть суттєво знизити ризики, пов'язані з подібними атаками.