Axie Infinity高级工程师成为黑客攻击导火索

一位Axie Infinity高级工程师的求职经历引发了加密行业最大规模的黑客攻击事件之一。这位工程师无意中应聘了一家虚构公司的职位，导致Axie Infinity专属的以太坊侧链Ronin遭受了严重的安全漏洞。

今年3月，Ronin遭遇黑客攻击，损失高达5.4亿美元的加密货币。尽管美国政府后来将此事与朝鲜黑客组织Lazarus联系起来，但攻击的具体细节尚未完全公开。

据悉，这起事件源于一则虚假的招聘广告。有消息人士透露，今年早些时候，一名自称代表某公司的人通过职业社交平台联系了Axie Infinity开发商Sky Mavis的员工，鼓励他们申请工作。经过多轮面试，一名Sky Mavis工程师获得了一份高薪职位。

随后，该工程师收到了一份PDF格式的虚假录用通知。在下载这份文件后，黑客软件成功渗透到Ronin的系统中。黑客随即攻击并接管了Ronin网络上九个验证器中的四个，仅差一个就能完全控制整个网络。

Sky Mavis在4月27日发布的事后报告中表示："我们的员工持续面临各种社交渠道的高级网络钓鱼攻击，其中一名员工不幸遭到入侵。该员工目前已离职。攻击者利用获取的访问权限渗透了Sky Mavis的IT基础设施，并获得了验证节点的控制权。"

在区块链中，验证器负责创建交易块和更新数据预言机等多项功能。Ronin采用"权威证明"系统进行交易签署，将权力集中在九个受信任的验证者手中。

区块链分析公司Elliptic解释道："只要九个验证者中有五个批准，就可以转移资金。攻击者成功获取了五个验证者的私钥，足以窃取加密资产。"

虽然黑客通过虚假招聘广告成功渗透Ronin系统，但他们仅控制了九个验证者中的四个，还需要一个额外的验证者才能完全掌控。

Sky Mavis在报告中披露，黑客最终利用Axie DAO（一个支持游戏生态系统的组织）完成了攻击。Sky Mavis曾在2021年11月请求DAO协助处理繁重的交易负载。

"Axie DAO允许Sky Mavis代表其签署各种交易。这一做法于2021年12月停止，但许可名单访问权限未被撤销，"Sky Mavis解释道，"一旦攻击者获取Sky Mavis系统的访问权限，他们就能从Axie DAO验证器中获得签名。"

黑客攻击发生一个月后，Sky Mavis将其验证节点数量增加到11个，并表示长期目标是拥有超过100个节点。

Sky Mavis在4月初完成了由某交易平台牵头的1.5亿美元融资。这笔资金将与公司自有资金一起用于补偿受攻击影响的用户。公司最近宣布将于6月28日开始向用户返还资金。在黑客攻击后暂停的Ronin以太坊桥也于上周重新启动。

安全机构ESET Research近期发布的一项调查显示，朝鲜的Lazarus组织滥用职业社交平台和即时通讯软件，针对航空航天和国防承包商进行攻击。不过，该报告并未将这种技术与Sky Mavis遭受的黑客攻击直接联系起来。

另一家安全机构在今年4月就发布了安全警告，指出朝鲜APT组织Lazarus Group使用一系列恶意应用程序针对数字货币行业进行定向APT攻击。他们的主要手段包括：

1. 在各大社交媒体平台上扮演不同角色
2. 与区块链行业开发人员接触交谈，为后续行动做准备
3. 建立看似正常的交易网站，以招聘外包员工为幌子
4. 骗取开发人员信任后，发送含有恶意软件的钓鱼攻击

针对这类威胁，安全专家提出以下防范建议：

1. 行业从业人员应密切关注国内外各大威胁平台的安全情报，做好自我排查，保持高度警惕
2. 开发人员在运行可执行程序前，务必进行必要的安全检查
3. 建立零信任机制，有效降低此类威胁带来的风险
4. 使用实体机的Mac/Windows用户应保持安全软件的实时防护开启，并及时更新最新病毒库