偽の求人が世界で最も人気のある暗号ゲームをどのように破壊したか

出典: https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game

ライアン・ウィークス著

Axie Infinity の上級エンジニアに起こった出来事ほど、求職活動の結果が劇的なものはほとんどありません。架空の会社への入社に興味を持ったことが、仮想通貨業界最大規模のハッキングにつながりました。

Ronin は、Axie Infinity ゲームの基礎となるイーサリアム関連のサイドチェーンです。 Axie Infinity は 3 月にエクスプロイトにより 5 億 4,000 万ドルの仮想通貨を失いました。米国政府はその後、この事件を北朝鮮のハッカー集団「ラザラス」と関連付けたが、攻撃がどのように実行されたかの完全な詳細は明らかにされていない。

ブロックは、偽の求人広告が Ronin を破壊したことを明らかにできるようになりました。

この件に直接詳しい関係者2人によると、アクシー・インフィニティの上級エンジニアが騙されて、実際には存在しない会社のポジションに応募させられたという。 ２人は問題の機密性を理由に匿名を条件に語った。

アクスィー・インフィニティは巨大だ。全盛期には、東南アジアの労働者は「遊んで稼ぐ」ことで生計を立てることさえできた。 11月のゲーム内NFTの1日あたりのアクティブユーザー数は270万人、週間取引高は2億1400万ドルだったものの、その後はどちらの数字も大幅に減少している。

事情に詳しい関係者によると、アクシー・インフィニティの開発会社スカイ・メイビスの従業員は今年初め、偽会社の代表を名乗る人物から接触を受け、仕事に応募するよう勧められたという。これらの手段はプロフェッショナルネットワーキングサイトLinkedInを通じて行われたと情報筋は付け加えた。

関係者によると、スカイ・メイビス社のエンジニアは複数回の面接を経て、非常に高収入の仕事に就いたという。

偽の「オファー」は PDF ファイルとして送信され、エンジニアはそれをダウンロードし、トロイの木馬が Ronin のシステムに侵入することを可能にしました。そこから、ハッカーは Ronin ネットワーク上の 9 つのバリデーターのうち 4 つを攻撃して乗っ取ることができ、完全に制御できないのは 1 つのバリデーターだけになりました。

Sky Mavisは4月27日のハッキングに関する事後ブログ投稿で、「従業員はさまざまなソーシャルチャネルで高度なスピアフィッシング攻撃に継続的にさらされ、従業員1名が侵害された。その従業員はもうSky Mavisの職場にいない。攻撃者は管理していた」と述べた。このアクセスを悪用して Sky Mavis IT インフラに侵入し、検証ノードへのアクセスを取得します。」

バリデーターは、トランザクションのブロックの作成やデータオラクルの更新など、ブロックチェーン内でさまざまな機能を実行します。 Ronin は、「権限証明」システムと呼ばれるものを使用して取引に署名し、9 人の信頼できる参加者の手に権力を集中させます。

4月の事件に関するブロックチェーン分析会社エリプティックのブログ投稿では、「9人のバリデーターのうち5人が承認すれば、資金を送金できる。秘密鍵は暗号資産を盗むのに十分だ」と説明している。

しかし、偽の求人広告を介して Ronin のシステムへの侵入に成功した後、ハッカーは 9 つのバリデーターのうち 4 つだけを制御しました。つまり、制御するには別のバリデーターが必要でした。

Sky Mavis 氏は事後分析で、ハッカーたちが Axie DAO (Decentralized Autonomous Organization) (ゲーム エコシステムをサポートするために設立された組織) を利用して攻撃を実行したことを明らかにしました。 Sky Mavis は 2021 年 11 月に DAO に、重いトランザクション負荷の処理を支援するよう要請していました。

「Axie DAOは、Sky Mavisが同社に代わってさまざまな取引に署名することを許可しました。これは2021年12月に廃止されましたが、許可リストへのアクセスは取り消されていませんでした」とSky Mavisはブログ投稿で述べました。 「攻撃者が Sky Mavis システムにアクセスすると、Axie DAO バリデーターから署名を取得することができました。」

ハッキングから 1 か月後、Sky Mavis はバリデーター ノードの数を 11 に増やし、長期的な目標は 100 を超えることであるとブログ投稿で述べました。

スカイ・メイビスはハッキングがどのように行われたかについてコメントを控えた。 LinkedInは複数のコメント要請に応じなかった。

本日初め、ESET Researchは、北朝鮮のLazarusがLinkedInとWhatsAppを悪用し、航空宇宙・防衛請負業者をターゲットに、人材募集担当者を装っていたことを示す調査結果を発表した。しかし報告書では、この技術とスカイ・メイビスのハッキングとの関連性は示されていない。

Sky Mavisは4月初めにBinance主導の資金調達ラウンドで1億5000万ドルを調達した。収益は同社の資金とともに、エクスプロイトの影響を受けたユーザーへの補償に使用される。同社は最近、6月28日にユーザーへの資金の返金を開始すると発表した。 Ronin のイーサリアム ブリッジも、ハッキング時に突然停止した後、先週再起動されました。

The Block Researchによると、今年はDeFiハッキングのペースが急速に加速しており、失われた資金は総額20億ドルを超えているという。 1月1日時点ではその額は7億6000万ドルだった。