Kebenaran! Alasan mengapa jembatan lintas rantai Ronin dicuri adalah...

Beberapa lamaran kerja lebih terkenal daripada seorang insinyur senior di Axie Infinity, yang minatnya untuk bergabung dengan perusahaan yang ternyata fiktif menyebabkan salah satu peretasan terbesar industri crypto.

Ronin, sidechain yang terhubung dengan ethereum di belakang game penghasil uang Axie Infinity, kehilangan $540 juta dalam mata uang kripto dalam eksploitasi pada bulan Maret. Sementara pemerintah AS kemudian mengaitkan insiden itu dengan kelompok peretasan Korea Utara Lazarus, belum diungkapkan rincian lengkap tentang bagaimana eksploitasi itu dilakukan.

Sekarang kami mengungkapkan bagaimana iklan pekerjaan palsu menghancurkan Ronin.

Seorang insinyur senior di Axie Infinity ditipu untuk melamar pekerjaan di sebuah perusahaan yang sebenarnya tidak ada, menurut dua orang yang mengetahui langsung masalah tersebut, yang meminta untuk tidak disebutkan namanya karena sensitivitas masalah tersebut.

Statistik Axie Infinity sangat mengesankan. Pada masa jayanya, para pekerja di Asia Tenggara bahkan mampu mencari nafkah dengan cara “bermain dan mencari nafkah”. NFT dalam gimnya memiliki 2,7 juta pengguna aktif harian dan $214 juta dalam volume transaksi mingguan pada bulan November — meskipun kedua angka tersebut telah turun tajam.

Awal tahun ini, orang yang mengaku mewakili perusahaan palsu tersebut menghubungi karyawan pengembang Axie Infinity, Sky Mavis dan mendorong mereka untuk melamar pekerjaan, menurut orang yang mengetahui masalah tersebut. Salah satu sumber menambahkan, cara tersebut dilakukan melalui situs profesional LinkedIn.

Setelah beberapa putaran wawancara, seorang insinyur di Sky Mavis ditawari pekerjaan dengan gaji yang sangat tinggi, kata salah satu sumber.

"Laporan" palsu datang dalam bentuk dokumen PDF yang diunduh oleh insinyur - memungkinkan spyware untuk menyusup ke sistem Ronin. Dari sana, peretas dapat menyerang dan mengambil alih empat dari sembilan validator di jaringan Ronin — membuat mereka hanya memiliki satu validator di luar kendali penuh.

Dalam posting blog postmortem tentang peretasan yang diterbitkan pada 27 April, Sky Mavis mengatakan: "Karyawan terus-menerus menjadi sasaran serangan phishing tombak tingkat lanjut di berbagai saluran sosial dan satu karyawan disusupi. Karyawan tersebut tidak lagi bersama Sky. Mavis bekerja. Para penyerang berhasil mengeksploitasi akses ini untuk menyusup ke infrastruktur IT Sky Mavis dan mendapatkan akses untuk memvalidasi node."

Validator melakukan berbagai fungsi di blockchain, termasuk membuat blok transaksi dan memperbarui oracle data. Ronin menggunakan apa yang disebutnya sistem "bukti otoritas" untuk menandatangani transaksi, memusatkan kekuasaan di tangan sembilan peserta tepercaya.

Sebuah posting blog oleh perusahaan analitik blockchain Elliptic tentang insiden pada bulan April menjelaskan: "Jika lima dari sembilan validator menyetujui, dana dapat ditransfer keluar. Penyerang berhasil mendapatkan kunci pribadi, yang cukup untuk mencuri aset kripto."

Tapi setelah berhasil menyusup ke sistem Ronin melalui iklan pekerjaan palsu, peretas hanya mengambil kendali empat dari sembilan validator -- yang berarti mereka membutuhkan validator lain untuk mengambil kendali.

Sky Mavis mengungkapkan dalam analisis post-mortem bahwa para peretas berhasil menggunakan Axie DAO (Organisasi Otonomi Terdesentralisasi), sebuah organisasi yang dibentuk untuk mendukung ekosistem game, untuk melakukan serangan. Sky Mavis telah meminta DAO pada November 2021 untuk membantu menangani beban transaksi yang berat.

"Axie DAO mengizinkan Sky Mavis menandatangani berbagai transaksi atas namanya. Ini dihentikan pada Desember 2021, tetapi akses daftar izin tidak dicabut," kata Sky Mavis dalam postingan blog. "Begitu penyerang memperoleh akses ke sistem Sky Mavis, mereka dapat memperoleh tanda tangan dari validator Axie DAO."

Sebulan setelah peretasan, Sky Mavis menambah jumlah node validatornya menjadi 11 dan menyatakan dalam posting blog bahwa tujuan jangka panjangnya adalah memiliki lebih dari 100.

Sky Mavis menolak mengomentari bagaimana peretasan itu dilakukan. LinkedIntidak menanggapi beberapa permintaan komentar.

Sebelumnya hari ini, ESET Research menerbitkan penyelidikan yang menunjukkan bahwa Lazarus Korea Utara menyalahgunakan LinkedIn dan WhatsApp untuk menargetkan kontraktor kedirgantaraan dan pertahanan dengan menyamar sebagai perekrut. Namun laporan tersebut tidak mengaitkan teknologi tersebut dengan peretasan Sky Mavis.

Sky Mavis mengumpulkan $150 juta dalam putaran pendanaan yang dipimpin oleh Binance pada awal April. Hasil akan digunakan, bersama dengan dana perusahaan sendiri, untuk mengkompensasi pengguna yang terkena eksploitasi. Perusahaan baru-baru ini mengatakan akan mulai mengembalikan dana kepada pengguna pada 28 Juni. Jembatan Ethereum Ronin juga dimulai kembali minggu lalu setelah tiba-tiba dihentikan oleh peretasan.

Menurut The Block Research, laju peretasan DeFi telah meningkat pesat tahun ini, dengan total dana yang hilang lebih dari $2 miliar. Pada 1 Januari, jumlahnya mencapai $760 juta.