一封价值5.4亿美元的招聘Offer

原文标题：《How a fake job offer took down the world's most popular crypto game》

原文作者：Ryan Weeks，The Block

原文编译：0x9F，BlockBeats

今年 3 月 29 日，Axie Infinity 侧链 Ronin 发文表示验证节点遭入侵，17.36 万枚 ETH 和 2550 万 USDC 被盗，Ronin Bridge 和 Katana Dex 也随之暂停运行（现在均已恢复）。4 月 27 日，Ronin 发布安全漏洞报告，称攻击者通过控制 9 个验证节点私钥中的 5 个，盗取了资金。报告中只提到 Sky Mavis 一名员工曾遭受钓鱼攻击，攻击者以此对 Sky Mavis IT 基础设施进行渗透并获得对验证节点的访问权限。具体是什么样的钓鱼攻击酿就了 Axie Infinity 的史上最严重错误？The Block 独家解密其中细节，BlockBeats 为您整理翻译如下：

人们很难不注意到来自一名 Axie Infinity 高级工程师的求职简历。这名工程师对加入一家虚构的公司的兴趣，导致了加密行业最大的黑客攻击之一。 

Ronin 是以太坊的一个侧链，也是 P2E 游戏 Axie Infinity 的基石。它在 3 月的一次攻击事件里损失了 5.4 亿美元的加密货币。虽然后来这一事件被指与朝鲜黑客组织 Lazarus 有关，但关于漏洞是如何被利用的全部细节尚未披露。The Block 现在可以透露，一个虚假的招聘广告铸成 Ronin 的败局。

据两名直接了解此事的人士（由于事情敏感，他们不愿透露姓名）称，Axie Infinity 的一名高级工程师被骗申请了一家公司的工作，而实际上，这家公司并不存在。 

Axie Infinity 规模巨大，巅峰时期东南亚的工人甚至能通过它赚钱谋生。去年 11 月，它拥有 270 万日活跃用户，游戏内 NFT 周交易量为 2.14 亿美元。尽管此后，这两个数字都急遽下降。

知情人士透露，今年早些时候，那家并不存在的公司的代表找上 Axie Infinity 开发商 Sky Mavis 的员工，鼓励他们申请工作。这些接触通过职业社交网站领英进行。经过多轮面试，一名 Sky Mavis 的工程师得到了一份报酬极为丰厚的工作。

这份虚假的「offer」以 PDF 文档形式提供，工程师下载了这份文档，使得间谍软件渗透进 Ronin 的系统里。从那里，黑客能够攻击并接管 Ronin 网络上 9 个验证节点中的 4 个，只缺 1 个验证节点就能获得完全控制。

4 月 27 日发表的一篇有关攻击事件的事后总结博文中，Sky Mavis 称：「员工们不断受到来自各种社交渠道的高级鱼叉式钓鱼攻击，其中一名员工被攻破。这名员工已不在 Sky Mavis 工作了。攻击者成功地利用这一机会渗透到 Sky Mavis 的 IT 基础设施中，并获得了对验证节点的访问权限。」

验证节点在区块链中履行各种功能，包括创建交易区块和更新数据预言机。Ronin 使用所谓的「权威证明」系统来签署交易，将权力集中在 9 个受信任的行为者手中。

区块链分析公司 Elliptic 在 4 月关于该事件的一篇博文中解释道：「如果 9 个验证节点中有 5 个批准，资金就可以转移出去。攻击者设法掌握了属于其中 5 个验证节点的私钥，从而窃取加密资产。」

但在通过虚假招聘广告成功侵入 Ronin 的系统后，黑客只控制了 9 个验证节点中的 4 个。他们还需要另一个验证节点才能获得控制权。

Sky Mavis 事后透露，黑客设法利用 Axie DAO 完成了这次抢劫。Axie DAO 是一个支持游戏生态系统的组织。2021 年 11 月，Sky Mavis 请求 DAO 帮助处理沉重的交易负荷。

「Axie DAO 允许 Sky Mavis 代表它签署各种交易。这在 2021 年 12 月被终止，但允许列表的访问权限并没有被撤销。一旦攻击者进入 Sky Mavis 系统，他们就能从 Axie DAO 验证节点获得签名。」

攻击事件发生一个月后，Sky Mavis 已将其验证节点数量增加至 11 个，并在博文中表示其长期目标是超过 100 个。 

Sky Mavis 拒绝就攻击事件是如何进行的发表评论，领英也没有回应多次置评请求。

今天早些时候，ESET Research 公布的一项调查显示，朝鲜的 Lazarus 滥用领英和 WhatsApp，冒充招聘人员，瞄准航空航天和国防承包商。但这份报告没有将这种技术与 Sky Mavis 的攻击事件联系起来。

4 月初，SkyMavis 在由 Binance 牵头的一轮融资中筹集了 1.5 亿美元。所得资金将与公司自有资金一起用于偿还受漏洞影响的用户。该公司最近表示，将于 6 月 28 日开始向用户返还资金。因攻击事件暂停使用的 Ronin Bridge 也于上周重新启动。

据 The Block Research 数据显示，DeFi 攻击事件的发生频率今年迅速加快，损失的资金总额超过 20 亿美元。1 月 1 日，这一数字还是 7.6 亿美元。