Axie Infinityのエンジニアの求人検索が暗号通貨の巨額の損失を引き起こす

最近、注目を集める暗号資産のハッカー事件がAxie Infinityの上級エンジニアの仕事の応募に関連しています。これにより、暗号業界で最大規模のハッキング攻撃の一つが発生しました。

Axie Infinity専用のイーサリアムサイドチェーンRoninは今年3月にハッキングされ、損失は5.4億ドルに達する暗号資産となった。アメリカの公式は後にこの事件を北朝鮮のハッカー組織Lazarusと関連付けたが、具体的な攻撃の詳細はまだ完全には公開されていない。

報道によると、この事件は偽の求人広告に起因しています。情報によると、今年の初めに、ある会社を代表すると名乗る人物が職業交流プラットフォームを通じてAxie Infinityの開発者であるSky Mavisの従業員に連絡し、仕事に応募するように勧めました。複数回の面接を経て、Sky Mavisのエンジニアの一人が高給の職を得ました。

その後、エンジニアは偽造された採用通知をPDF文書形式で受け取りました。エンジニアがその文書をダウンロードした後、ハッカーソフトウェアがRoninシステムに成功裏に侵入しました。ハッカーはすぐにRoninネットワーク上の9つのバリデーターのうち4つを攻撃して制御し、ネットワークを完全に掌握するためにはあと1つだけ必要でした。

Sky Mavisは事後の発表で、会社の従業員がさまざまなソーシャルチャネルでの高度なフィッシング攻撃を引き続き受けており、一人の従業員が不幸にも侵害されたと述べました。その従業員はもう会社に所属していません。攻撃者は取得したアクセス権を利用して会社のITインフラに浸透し、検証ノードへのアクセス権を得ました。

ブロックチェーンにおいて、バリデーターはトランザクションブロックの作成やデータオラクルの更新などの複数の機能を担当します。Roninは"権威証明"システムを採用してトランザクションに署名し、権力を9人の信頼されたバリデーターに集中させています。

ブロックチェーン分析機関Ellipticは説明しました。9人の検証者のうち5人が承認すれば、資金が転送される可能性があります。攻撃者は5人の検証者の秘密鍵を成功裏に取得し、暗号資産を盗むのに十分です。

ハッカーは偽の求人広告を通じてRoninシステムに成功裏に侵入し、9つのバリデーターのうち4つを制御しました。ネットワークを完全に制御するために、彼らはもう1つのバリデーターが必要です。

Sky Mavisは、ハッカーがAxie DAO（ゲームエコシステムを支援する組織）を利用して攻撃を実行したことを明らかにしました。会社は2021年11月にDAOに対して重い取引負荷を処理する手助けを求めていました。この協力は2021年12月に終了しましたが、許可リストへのアクセス権は撤回されていませんでした。攻撃者がSky Mavisのシステムに侵入すると、Axie DAOのバリデーターから署名を取得できるようになります。

ハッカー事件発生から1ヶ月後、Sky Mavisは検証ノードの数を11に増やし、長期的な目標は100以上のノードを持つことだと述べた。

Sky Mavisは4月初旬に1.5億ドルの資金調達を行い、攻撃の影響を受けたユーザーへの補償に充てることを発表しました。会社は最近、6月28日からユーザーに資金を返還することを発表しました。ハッキング攻撃後に一時停止していたRoninのイーサリアムブリッジも再起動しました。

最近の安全機関の調査によると、北朝鮮のLazarusグループは、職業的なソーシャルプラットフォームやインスタントメッセージングソフトウェアを悪用して、航空宇宙および防衛請負業者に対して攻撃を行っています。また、別の安全機関は以前に、このグループがソーシャルエンジニアリングの原則を利用して、主要なソーシャルメディア上で身分を偽装し、ブロックチェーン業界の開発者に近づき、さらには信頼を得るために偽の取引サイトを構築し、それによってフィッシング攻撃を実行するためにマルウェアを送信することを警告しています。

同様の脅威を防ぐため、業界関係者はセキュリティインテリジェンスに密接に注意を払い、自身の点検を行うことを推奨します；開発者は実行可能なプログラムを実行する前に必要なセキュリティチェックを行います；ゼロトラストメカニズムを実施します；セキュリティソフトウェアのリアルタイム保護を維持し、ウイルス定義を適時更新します。