Статьи

Как взломали Axie Infinity

Изящно и просто, как в знакомом с детства стишке: Акси на пол уронили, Акси лапу оторвали… Точнее, правая рука: старший инженер проекта.

Но мы расскажем обо всем суровой прозой, по порядку и в подробностях, которые стали известны только сейчас.

Axie Infinity (AXS) был огромным вкусным пирогом. В разгар проекта безработные в Юго-Восточной Азии даже могли зарабатывать себе на жизнь с помощью функции «играй, чтобы заработать». В ноябре прошлого года у Axie Infinity было 2,7 миллиона активных пользователей в день и еженедельный объем внутриигровой торговли NFT на сумму 214 миллионов долларов. С тех пор оба числа резко упали, не в последнюю очередь из-за этого взлома.

Ronin (RON), связанный с Ethereum сайдчейн, лежащий в основе игры Axie Infinity, в которой нужно зарабатывать деньги, в марте 2022 года потерял 540 миллионов долларов в криптовалюте из-за эксплойта. Этот взлом оказался одним из крупнейших в крипто-секторе. Правительство США связало инцидент с северокорейской хакерской группировкой Lazarus, но подробности о том, как был осуществлен эксплойт, не разглашаются.

А теперь стало известно, что в начале было слово. И слово было — «вакансия».

Ронина погубила поддельная реклама очень привлекательной работы, созданная хакерами специально для того, чтобы вызвать интерес к проекту знаковой фигуры.

Два человека, осведомленные об этом инциденте, сообщили журналистам на условиях анонимности, что старший инженер Axie Infinity, привлеченный поддельной вакансией в компании, которой на самом деле не существовало, подал заявление о приеме на работу.

В начале этого года к Sky Mavis (разработчику Axie Infinity) обратились люди, представившиеся рекрутерами фейковой компании, с предложением откликнуться на вакансию лучших специалистов. Один источник добавил, что подходы были сделаны через популярный сайт профессиональной сети LinkedIn.

С заинтересованным вакансией старшим инженером Sky Mavis мошенники для пущей убедительности провели несколько раундов собеседований, после чего сообщили, что готовы взять его на работу на очень выгодных для специалиста условиях — с крайне щедрым компенсационным пакетом.

Привлекательному кандидату на работу было отправлено поддельное предложение в виде PDF-документа, который инженер скачал, что позволило шпионскому ПО проникнуть в системы Ronin. Оттуда хакеры смогли атаковать и захватить четыре из девяти валидаторов Ronin, оставив без полного контроля сети только одного валидатора.

В сообщении постфактум о взломе, опубликованном в их блоге 27 апреля, Sky Mavis сообщила общественности:

«Наши сотрудники постоянно подвергаются расширенным фишинговым атакам в различных социальных сетях, и один сотрудник был скомпрометирован. Этот сотрудник больше не работает в Sky Mavis. Злоумышленник смог использовать полученный доступ, чтобы проникнуть в ИТ-инфраструктуру Sky Mavis и получить доступ к узлам валидатора».

Валидаторы выполняют различные функции в блокчейнах, включая создание блоков транзакций и обновление оракулов данных. Ронин использует так называемую систему «подтверждения полномочий» для подписания транзакций, концентрируя власть в руках девяти доверенных лиц.

В апрельском сообщении в блоге об инциденте аналитическая компания Elliptic объяснила:

«Средства могут быть выведены, если пять из девяти валидаторов одобрят это. Злоумышленнику удалось завладеть закрытыми криптографическими ключами, принадлежащими пяти валидаторам, чего было достаточно для кражи криптоактивов».

Но после успешного проникновения в системы Ronin через фальшивую вакансию хакеры получили контроль только над четырьмя из девяти валидаторов, а это означает, что им нужен был еще один, чтобы получить контроль.

Проанализировав ситуацию, Sky Mavis выяснила, что для совершения ограбления хакерам удалось использовать Axie DAO (Decentralized Autonomous Organization), группу, созданную для поддержки игровой экосистемы. Sky Mavis обратилась к DAO за помощью с большим количеством транзакций в ноябре 2021 года.

«Axie DAO внесла Sky Mavis в белый список для подписания различных транзакций от ее имени. Это было прекращено в декабре 2021 года, но доступ к белому списку не был отозван», — говорится в сообщении Sky Mavis в блоге. «После того, как злоумышленник получил доступ к системам Sky Mavis, он смог получить подпись от валидатора Axie DAO».

Через месяц после взлома Sky Mavis увеличила количество узлов-валидаторов до 11 и заявила в своем блоге, что долгосрочная цель — иметь более 100 валидаторов.

Sky Mavis отказалась комментировать, как был осуществлен взлом. LinkedIn не ответил на многочисленные запросы о комментариях.

Вместо этого ESET Research опубликовала расследование, показывающее, что Lazarus из Северной Кореи злоупотреблял LinkedIn и WhatsApp, выдавая себя за вербовщиков, нацеленных на аэрокосмических и оборонных подрядчиков. Однако этот отчет не связывает эту технику со взломом Sky Mavis.

Sky Mavis привлекла 150 миллионов долларов в ходе раунда под руководством Binance в начале апреля. Вырученные средства будут использованы вместе с собственными средствами компании для возмещения ущерба пользователям, пострадавшим от эксплойта. Пользователи могут рассчитывать на возмещение этим летом. После внезапной остановки во время взлома мост Ronin Ethereum снова был перезапущен.

По данным The Block Research, в этом году взломы DeFi быстро ускорились, и общая сумма потерянных средств уже превышает 2 миллиарда долларов. По состоянию на 1 января 2022 года эта цифра составляла 760 миллионов долларов.

kolichestvo ukradennyh sredstv defi v 2020 2022 gg - Как взломали Axie Infinity

Кнопка «Наверх»