Sự thật! Lý do tại sao cây cầu xuyên chuỗi Ronin bị đánh cắp là...

Rất ít đơn xin việc được đánh giá cao hơn một kỹ sư cấp cao tại Axie Infinity, người muốn gia nhập một công ty hóa ra là hư cấu đã dẫn đến một trong những vụ hack lớn nhất của ngành công nghiệp tiền điện tử.

Ronin, sidechain liên kết ethereum đằng sau trò chơi kiếm tiền Axie Infinity, đã mất 540 triệu đô la tiền điện tử trong một vụ khai thác vào tháng 3. Mặc dù chính phủ Hoa Kỳ sau đó đã liên kết vụ việc với nhóm hack Lazarus của Bắc Triều Tiên, nhưng họ không tiết lộ đầy đủ chi tiết về cách thức khai thác được thực hiện.

Bây giờ chúng tôi tiết lộ một quảng cáo việc làm giả đã phá hủy Ronin như thế nào.

Một kỹ sư cấp cao tại Axie Infinity đã bị lừa khi nộp đơn xin việc tại một công ty không thực sự tồn tại, theo hai người có kiến thức trực tiếp về vấn đề này, những người yêu cầu giấu tên do tính nhạy cảm của vấn đề.

Chỉ số của Axie Infinity rất ấn tượng. Vào thời hoàng kim, người lao động ở Đông Nam Á thậm chí còn có thể kiếm sống bằng cách “vừa chơi vừa kiếm”. NFT trong trò chơi của nó có 2,7 triệu người dùng hoạt động hàng ngày và 214 triệu đô la trong khối lượng giao dịch hàng tuần vào tháng 11 — mặc dù cả hai con số này đã giảm mạnh kể từ đó.

Đầu năm nay, những người tự xưng đại diện cho công ty giả mạo đã liên hệ với nhân viên của Sky Mavis, nhà phát triển Axie Infinity và khuyến khích họ nộp đơn xin việc, theo những người quen thuộc với vấn đề này. Một nguồn tin cho biết thêm rằng các phương pháp này được thực hiện thông qua trang web chuyên nghiệp LinkedIn.

Sau nhiều vòng phỏng vấn, một kỹ sư tại Sky Mavis đã được mời làm một công việc được trả lương rất cao, một trong những nguồn tin cho biết.

"Báo cáo" giả có dạng tài liệu PDF mà kỹ sư đã tải xuống -- cho phép phần mềm gián điệp xâm nhập vào hệ thống của Ronin. Từ đó, tin tặc có thể tấn công và chiếm quyền kiểm soát bốn trong số chín trình xác thực trên mạng Ronin — khiến chúng chỉ còn một trình xác thực ngoài tầm kiểm soát hoàn toàn.

Trong một bài đăng trên blog sau khi khám nghiệm tử thi về vụ hack được xuất bản vào ngày 27 tháng 4, Sky Mavis cho biết: "Các nhân viên liên tục phải chịu các cuộc tấn công lừa đảo tiên tiến trên nhiều kênh xã hội khác nhau và một nhân viên đã bị xâm phạm. Nhân viên đó không còn làm việc với Sky nữa. Mavis vẫn làm việc. Những kẻ tấn công đã quản lý để khai thác quyền truy cập này để xâm nhập vào cơ sở hạ tầng CNTT của Sky Mavis và có quyền truy cập vào các nút xác thực."

Trình xác thực thực hiện các chức năng khác nhau trong chuỗi khối, bao gồm tạo khối giao dịch và cập nhật dữ liệu tiên tri. Ronin sử dụng cái mà nó gọi là hệ thống "bằng chứng về thẩm quyền" để ký các giao dịch, tập trung quyền lực vào tay của chín người tham gia đáng tin cậy.

Một bài đăng trên blog của công ty phân tích chuỗi khối Elliptic về vụ việc vào tháng 4 đã giải thích: "Nếu năm trong số chín trình xác nhận chấp thuận, tiền có thể được chuyển ra ngoài. Kẻ tấn công đã lấy được khóa cá nhân, đủ để đánh cắp tài sản tiền điện tử."

Nhưng sau khi xâm nhập thành công vào hệ thống của Ronin thông qua các quảng cáo việc làm giả mạo, tin tặc chỉ kiểm soát được bốn trong số chín trình xác thực -- nghĩa là chúng cần một trình xác thực khác để nắm quyền kiểm soát.

Sky Mavis tiết lộ trong một phân tích sau khi khám nghiệm tử thi rằng tin tặc đã sử dụng Axie DAO (Tổ chức tự trị phi tập trung), một tổ chức được thành lập để hỗ trợ hệ sinh thái trò chơi, để thực hiện cuộc tấn công. Sky Mavis đã yêu cầu DAO vào tháng 11 năm 2021 để giúp xử lý khối lượng giao dịch lớn.

"Axie DAO cho phép Sky Mavis thay mặt mình ký nhiều giao dịch khác nhau. Điều này đã bị ngừng vào tháng 12 năm 2021, nhưng quyền truy cập danh sách quyền không bị thu hồi," Sky Mavis cho biết trong một bài đăng trên blog. "Khi những kẻ tấn công giành được quyền truy cập vào hệ thống Sky Mavis, chúng có thể lấy được chữ ký từ những người xác thực Axie DAO."

Một tháng sau vụ hack, Sky Mavis đã tăng số lượng nút xác thực lên 11 và tuyên bố trong một bài đăng trên blog rằng mục tiêu dài hạn của nó là có hơn 100 nút.

Sky Mavis từ chối bình luận về cách thức thực hiện vụ hack. LinkedInđã không trả lời nhiều yêu cầu bình luận.

Đầu ngày hôm nay, ESET Research đã công bố một cuộc điều tra cho thấy Lazarus của Triều Tiên đang lạm dụng LinkedIn và WhatsApp để nhắm mục tiêu vào các nhà thầu hàng không vũ trụ và quốc phòng bằng cách giả làm nhà tuyển dụng. Nhưng báo cáo không liên kết công nghệ với vụ hack Sky Mavis.

Sky Mavis đã huy động được 150 triệu đô la trong vòng tài trợ do Binance dẫn đầu vào đầu tháng Tư. Tiền thu được sẽ được sử dụng, cùng với quỹ riêng của công ty, để bồi thường cho những người dùng bị ảnh hưởng bởi việc khai thác. Công ty gần đây cho biết họ sẽ bắt đầu trả lại tiền cho người dùng vào ngày 28 tháng 6. Cầu Ethereum của Ronin cũng đã được khởi động lại vào tuần trước sau khi bị hack đột ngột.

Theo The Block Research, tốc độ của các vụ hack DeFi đã tăng nhanh chóng trong năm nay, với tổng số tiền bị mất hơn 2 tỷ đô la. Vào ngày 1 tháng 1, con số này là 760 triệu đô la.