가짜 구인 제안이 세계에서 가장 인기 있는 암호화폐 게임을 파괴한 방법

출처: https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game

라이언 윅스

Axie Infinity의 선임 엔지니어에게 일어난 일보다 더 극적인 입사 지원 결과는 거의 없습니다. 가상의 회사에 합류하는 것에 대한 그의 관심은 암호화 업계에서 가장 큰 해킹 중 하나로 이어졌습니다.

Ronin은 Axie Infinity 게임의 기반이 되는 Ethereum 관련 사이드체인입니다. Axie Infinity는 3월 익스플로잇으로 인해 5억 4천만 달러의 암호화폐를 잃었습니다. 미국 정부는 나중에 이 사건을 북한의 해킹 그룹인 라자루스(Lazarus)와 연관시켰지만 공격이 어떻게 수행되었는지에 대한 자세한 내용은 공개되지 않았습니다.

The Block은 이제 가짜 직업 광고가 로닌을 파괴했음을 밝힐 수 있습니다.

Axie Infinity의 선임 엔지니어는 사기를 당해 실제로 존재하지 않는 회사에 지원하게 되었다고 이 문제에 대해 직접적으로 알고 있는 두 사람이 말했습니다. 두 사람은 사안의 민감성을 고려해 익명을 전제로 대화를 나눴다.

Axie Infinity는 거대합니다. 전성기에 동남아 노동자들은 놀고 벌면서 생계를 꾸릴 수도 있었다. 11월 게임 내 NFT의 일일 활성 사용자 수는 270만 명, 주간 거래량은 2억 1,400만 달러였습니다. 하지만 이후 두 수치 모두 크게 감소했습니다.

이 문제에 정통한 사람들에 따르면 올해 초 Axie Infinity 개발자 Sky Mavis의 직원들은 가짜 회사를 대표한다고 주장하는 사람들로부터 접근하여 지원을 권유했습니다. 이러한 경로는 전문 네트워킹 사이트 LinkedIn을 통해 수행되었다고 소식통이 추가했습니다.

소식통에 따르면 Sky Mavis의 한 엔지니어는 여러 차례의 인터뷰 끝에 매우 보수가 좋은 직업을 얻었다고 합니다.

가짜 "제안"은 엔지니어가 다운로드한 PDF 파일로 전송되어 트로이 목마가 로닌의 시스템에 침투할 수 있도록 했습니다. 그곳에서 해커들은 로닌 네트워크에 있는 9명의 검증자 중 4명을 공격하고 탈취할 수 있었습니다. 단 한 명의 검증자만 완전한 통제권을 잃게 되었습니다.

Sky Mavis는 4월 27일 해킹에 대한 사후 블로그 게시물에서 다음과 같이 말했습니다. 이 액세스 권한을 악용하여 Sky Mavis IT 인프라에 침투하고 검증 노드에 대한 액세스 권한을 얻습니다."

유효성 검사기는 트랜잭션 블록 생성 및 데이터 오라클 업데이트를 포함하여 블록체인에서 다양한 기능을 수행합니다. Ronin은 "권한 증명" 시스템이라고 하는 것을 사용하여 트랜잭션에 서명하고 9명의 신뢰할 수 있는 참가자의 손에 권한을 집중시킵니다.

블록체인 분석 회사 엘립틱(Elliptic)은 지난 4월 발생한 사건에 대해 블로그 게시물에서 "검증인 9명 중 5명이 승인하면 자금을 이체할 수 있다. 개인 키는 암호화 자산을 훔치기에 충분하다"고 설명했다.

그러나 가짜 구인 광고를 통해 Ronin의 시스템에 성공적으로 침투한 후 해커는 9개의 유효성 검사기 중 4개만 제어했습니다. 즉, 제어하려면 다른 유효성 검사기가 필요했습니다.

사후 분석에서 Sky Mavis는 해커들이 게임 생태계를 지원하기 위해 설립된 조직인 Axie DAO(Decentralized Autonomous Organization)를 사용하여 공격을 수행했다고 밝혔습니다. Sky Mavis는 2021년 11월에 DAO에 과도한 트랜잭션 부하를 처리할 수 있도록 도움을 요청했습니다.

"Axie DAO는 Sky Mavis가 대신하여 다양한 거래에 서명하도록 허용했습니다. 이것은 2021년 12월에 중단되었지만 권한 목록 액세스는 취소되지 않았습니다."라고 Sky Mavis는 블로그 게시물에서 말했습니다. "공격자가 Sky Mavis 시스템에 액세스한 후 Axie DAO 검증자로부터 서명을 얻을 수 있었습니다."

해킹 한 달 후 Sky Mavis는 유효성 검사기 노드 수를 11개로 늘렸고 블로그 게시물에서 장기 목표는 100개 이상을 보유하는 것이라고 밝혔습니다.

Sky Mavis는 해킹이 어떻게 수행되었는지에 대한 언급을 거부했습니다. LinkedIn은 댓글에 대한 여러 요청에 응답하지 않았습니다.

오늘 일찍 ESET Research는 북한의 Lazarus가 LinkedIn과 WhatsApp을 악용하여 채용 담당자로 가장하여 항공 우주 및 방위 계약자를 표적으로 삼고 있음을 보여주는 조사를 발표했습니다. 그러나 이 보고서는 이 기술을 Sky Mavis 해킹과 연결하지 않았습니다.

Sky Mavis는 4월 초 바이낸스가 이끄는 자금 조달 라운드에서 1억 5천만 달러를 모금했습니다. 수익금은 악용의 영향을 받는 사용자를 보상하기 위해 회사 자체 자금과 함께 사용됩니다. 이 회사는 최근 6월 28일부터 사용자에게 자금을 반환하기 시작할 것이라고 말했습니다. 로닌의 이더리움 브릿지도 해킹 당시 갑자기 멈춘 뒤 지난주 다시 시작됐다.

블록 리서치(The Block Research)에 따르면 올해 DeFi 해킹의 속도가 급격히 빨라져 총 20억 달러 이상의 자금 손실이 발생했습니다. 1월 1일에 그 수치는 7억 6천만 달러였습니다.