SKY:一份假Offer如何盗走了「Axie Infinity」5.4亿美元？

今年早些时候，黑客诱AxieInfinity的一名高级工程师申请了一家虚构的公司的工作，最终导致AxieInfinity遭受5.4亿美元加密货币的损失。以下是TheBlock报道的黑客入侵AxieInfinity的细节。很少能有求职经历比AxieInfinity高级工程师的遭遇更刺激了。他对加入一家虚构公司的兴趣最终促成了加密行业最大的黑客攻击之一。去年11月，AxieInfinity游戏内NFT的日活跃用户一度达到270万，周交易额达到2.14亿美元。而今年3月，P2E链游龙头AxieInfinity的以太坊侧链Ronin损失了价值5.4亿美元的加密货币。虽然美国政府后来将这一事件与朝鲜黑客组织Lazarus联系在一起，但有关这次攻击是如何进行的全部细节尚未披露。其实毁掉Ronin的仅仅是一个虚假的招聘广告。两名了解此事的人士表示，AxieInfinity的一名高级工程师被申请了一家实际上并不存在的公司的职位。由于事件的敏感性，这两名人士要求匿名。据知情人士透露，今年早些时候，自称代表这家假冒公司的人通过LinkedIn和WhatsApp勾搭了AxieInfinity开发商SkyMavis的员工，利用新工作机会引诱他。有消息称，在经过多轮面试后，SkyMavis的一名工程师获得了一份薪酬极其丰厚的工作。这个虚假Offer是以PDF文件的形式发送的，工程师下载了这个文件——这让木马得以渗透到Ronin的系统中。从那时起，黑客可以攻击并接管Ronin网络上9个验证器中的4个，只差1个验证器无法完全控制。SkyMavis在4月27日发布的一篇博文中对此次黑客攻击进行了分析，文章称：“员工在各种社交渠道上不断受到高级钓鱼网络攻击，其中一名员工遭到了攻击。这名员工已经不在SkyMavis工作了。攻击者成功利用该访问权限渗透SkyMavis的IT基础设施，并获得了对验证器节点的访问权限。”验证器在区块链中可实现各种功能，包括创建交易区块和更新数据预言机。Ronin使用所谓的“授权证明”系统来签署交易，将权力集中在9个可信任的验证者手中。区块链分析公司Elliptic在今年4月的一篇博客文章中解释说：“如果九个验证者中有五个批准，资金就可以转移出去。攻击者设法获得了5个验证器的私有加密密钥，这足以窃取加密资产。”但在通过假招聘广告成功渗透到Ronin的系统后，黑客只控制了9个验证器中的4个——这意味着黑客还需要另一个才能控制Ronin系统。在事后分析中，SkyMavis透露，黑客成功地使用了AxieDAO来完成盗取。SkyMavis曾在2021年11月请求AxieDAO帮助处理交易负载问题。“AxieDAO允许SkyMavis代表其签署各种交易。在2021年12月暂停，但允许访问列表没有被撤销，”SkyMavis在博客文章中说。“一旦攻击者进入SkyMavis系统，他们就能从AxieDAO验证器获得签名。”黑客入侵一个月后，SkyMavis将其验证器节点的数量增加到11个，并在博客文章中表示，其长期目标是超过100个。当记者联系到SkyMavis时，该公司拒绝就此次黑客攻击是如何进行的置评。LinkedIn也多次拒绝置评。今天早些时候，ESET研究公司公布了一项调查，显示朝鲜黑客组织Lazarus用LinkedIn和WhatsApp冒充招募人员，目标人群是航空航天和国防承包商。但该报告并未将该技术与SkyMavis黑客联系起来。今年4月初，SkyMavis在由币安领投的一轮融资中筹集了1.5亿美元。所得款项将与该公司备用资金一起用于补偿受该漏洞影响的用户。AxieInfinity最近表示，将于6月28日开始向返还用户资金。在被黑客攻击时突然中断的Ronin的以太坊桥也于上周也重新启动了。根据TheBlockResearch的数据，今年DeFi黑客攻击事件频发，损失的资金总额超过20亿美元。1月1日，这一数字仅为7.6亿美元。

动态 | 欧洲央行执委Benoit Coeure将于下月向G7财长提交一份关于虚拟货币的报告:欧洲央行执委Benoit Coeure在出席完欧元区财长会议后在赫尔辛基举行的新闻发布会上表示，Libra是“一个警钟”。 Coeure还提到了一项鲜为人知的计划TIPS。该项目于去年启动，可允许消费者使用电子现金，这些现金将直接存入欧洲央行，而不需要银行账户、金融中介机构或清算对手方。Coeure称欧洲央行的这个项目在Libra发布之前就已经开始了，可能还会持续数月甚至数年。技术上的可行性仍有待观察，可能会遭到银行的反对。 Coeure还表示，他将于下月向G7财长提交一份关于虚拟货币的报告。[2019/9/14]

突发 | 何一辟谣：市场流传一份币安股权转让的材料和币安没有关联: 币安何一发微博辟谣称，市场流传一份币安股权转让的材料，和币安没有关联，请投资者自行甄别。[2018/6/26]

亚利桑那州州长签署了一份法案，该法案支持在区块链上持有和分享数据:据Coindesk报道，近日，亚利桑那州州长Doug Ducey最新签署了一份法案。该法案支持在区块链上持有和分享数据，承认技术编写和存储在系统上的数据。早前Ducey签署了区块链和智能合约的电子签名合法。[2018/4/5]

国家杜马金融市场委员会主席表示 俄罗斯已经提交一份加密数字货币监管法案:国家杜马金融市场委员会主席阿纳托利·阿克萨科夫（Anatoly Aksakov）表示，俄罗斯议员已经提交一份加密数字货币监管法案，并将在12月28日对该法案在国家杜马进行阐述，其中将会把数字货币定位为“另一种形式的财产”。[2017/12/21]

标签：SKYSKYMMAVAVISKYBORNSKYM币KarmaverseAVI价格

莱特币价格热门资讯