Un ingénieur senior d'Axie Infinity devient le catalyseur d'une attaque de hacker
L'expérience de recherche d'emploi d'un ingénieur senior d'Axie Infinity a déclenché l'une des plus grandes attaques de hacking de l'industrie de la cryptographie. Cet ingénieur a accidentellement postulé pour un poste dans une entreprise fictive, ce qui a entraîné une grave vulnérabilité de sécurité sur la sidechain Ethereum Ronin, dédiée à Axie Infinity.
En mars de cette année, Ronin a subi une attaque de Hacker, avec des pertes atteignant 540 millions de dollars de crypto-monnaie. Bien que le gouvernement américain ait par la suite lié cet incident au groupe de hackers nord-coréens Lazarus, les détails spécifiques de l'attaque n'ont pas encore été entièrement divulgués.
Selon des informations, cet incident provient d'une fausse annonce de recrutement. Des sources ont révélé qu'au début de cette année, une personne se présentant comme représentant d'une certaine entreprise a contacté des employés de Sky Mavis, le développeur d'Axie Infinity, via un réseau social professionnel, les encourageant à postuler. Après plusieurs entretiens, un ingénieur de Sky Mavis a obtenu un poste bien rémunéré.
Ensuite, l'ingénieur a reçu un faux avis d'embauche au format PDF. Après avoir téléchargé ce document, le logiciel Hacker a réussi à infiltrer le système de Ronin. Les hackers ont immédiatement attaqué et pris le contrôle de quatre des neuf validateurs sur le réseau Ronin, n'étant qu'à un pas de contrôler entièrement le réseau.
Sky Mavis a déclaré dans son rapport d'après événement publié le 27 avril : "Nos employés continuent de faire face à diverses attaques de phishing avancées sur les canaux sociaux, et un de nos employés a malheureusement été compromis. Cet employé a depuis quitté l'entreprise. L'attaquant a utilisé l'accès obtenu pour infiltrer l'infrastructure informatique de Sky Mavis et a pris le contrôle des nœuds de validation."
Dans la blockchain, les validateurs sont responsables de la création des blocs de transactions et de la mise à jour des oracles de données, entre autres fonctions. Ronin utilise un système de "preuve d'autorité" pour la signature des transactions, concentrant le pouvoir entre les mains de neuf validateurs de confiance.
La société d'analyse blockchain Elliptic a expliqué : "Dès que cinq des neuf validateurs approuvent, des fonds peuvent être transférés. L'attaquant a réussi à obtenir les clés privées de cinq validateurs, suffisantes pour voler des actifs cryptographiques."
Bien que les hackers aient réussi à infiltrer le système Ronin grâce à de fausses annonces de recrutement, ils ne contrôlent que quatre des neuf validateurs et ont besoin d'un validateur supplémentaire pour prendre le contrôle total.
Sky Mavis a révélé dans son rapport que le Hacker a finalement utilisé l'Axie DAO (une organisation qui soutient l'écosystème de jeu) pour mener l'attaque. Sky Mavis avait demandé l'aide de la DAO en novembre 2021 pour gérer une charge de transactions lourde.
"Axie DAO permet à Sky Mavis de signer diverses transactions en son nom. Cette pratique a été arrêtée en décembre 2021, mais l'accès à la liste des autorisations n'a pas été révoqué, " a expliqué Sky Mavis, "une fois que l'attaquant a accès au système de Sky Mavis, il peut obtenir des signatures des validateurs d'Axie DAO."
Un mois après l'attaque des hackers, Sky Mavis a augmenté le nombre de ses nœuds de validation à 11 et a déclaré que l'objectif à long terme était d'avoir plus de 100 nœuds.
Sky Mavis a terminé un financement de 150 millions de dollars dirigé par une plateforme d'échange au début du mois d'avril. Ces fonds seront utilisés avec les fonds propres de l'entreprise pour indemniser les utilisateurs affectés par l'attaque. La société a récemment annoncé qu'elle commencerait à rembourser les utilisateurs le 28 juin. Le pont Ethereum Ronin, suspendu après l'attaque, a également été relancé la semaine dernière.
Une enquête récente publiée par l'agence de sécurité ESET Research révèle que le groupe Lazarus de Corée du Nord abuse des plateformes de réseaux sociaux professionnels et des logiciels de messagerie instantanée pour attaquer des entrepreneurs en aérospatial et en défense. Cependant, le rapport ne lie pas directement cette technique à l'attaque par un hacker subie par Sky Mavis.
Une autre agence de sécurité a publié un avertissement en avril de cette année, indiquant que le groupe APT Lazarus, lié à la Corée du Nord, utilise une série d'applications malveillantes pour mener des attaques APT ciblées contre l'industrie des cryptomonnaies. Leurs principaux moyens incluent :
Jouer différents rôles sur les grandes plateformes de médias sociaux
Entrer en contact et discuter avec des développeurs de l'industrie de la blockchain pour préparer les actions futures.
Établir un site de trading apparemment normal, sous prétexte de recruter des employés en freelance.
Après avoir trompé la confiance des développeurs, envoyer une attaque de phishing contenant des logiciels malveillants.
Pour faire face à ce type de menace, les experts en sécurité recommandent les mesures préventives suivantes :
Les professionnels de l'industrie doivent suivre de près les informations de sécurité des grandes plateformes de menaces nationales et internationales, effectuer des auto-évaluations et rester en alerte.
Avant d'exécuter le programme, les développeurs doivent effectuer les vérifications de sécurité nécessaires.
Établir un mécanisme de zéro confiance pour réduire efficacement les risques liés à ce type de menace.
Les utilisateurs de Mac/Windows utilisant une machine physique doivent garder la protection en temps réel de leur logiciel de sécurité activée et mettre à jour régulièrement la dernière base de virus.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
10 J'aime
Récompense
10
5
Partager
Commentaire
0/400
TokenDustCollector
· 08-04 15:35
Ah, cette taxe d'intelligence pour les ingénieurs.
Voir l'originalRépondre0
ForkLibertarian
· 08-04 15:33
pigeons pris pour des idiots par les ingénieurs
Voir l'originalRépondre0
PhantomMiner
· 08-04 15:28
Les entretiens peuvent également être piégés, des ingénieurs seniors peuvent également être ciblés.
Voir l'originalRépondre0
RugResistant
· 08-04 15:19
faiblesse critique dans la couche humaine... smh c'est pourquoi nous avons besoin d'une meilleure formation en sécurité
Un ingénieur d'Axie Infinity victime d'une tentative de phishing pour un emploi, entraînant un piratage de 540 millions de dollars sur Ronin.
Un ingénieur senior d'Axie Infinity devient le catalyseur d'une attaque de hacker
L'expérience de recherche d'emploi d'un ingénieur senior d'Axie Infinity a déclenché l'une des plus grandes attaques de hacking de l'industrie de la cryptographie. Cet ingénieur a accidentellement postulé pour un poste dans une entreprise fictive, ce qui a entraîné une grave vulnérabilité de sécurité sur la sidechain Ethereum Ronin, dédiée à Axie Infinity.
En mars de cette année, Ronin a subi une attaque de Hacker, avec des pertes atteignant 540 millions de dollars de crypto-monnaie. Bien que le gouvernement américain ait par la suite lié cet incident au groupe de hackers nord-coréens Lazarus, les détails spécifiques de l'attaque n'ont pas encore été entièrement divulgués.
Selon des informations, cet incident provient d'une fausse annonce de recrutement. Des sources ont révélé qu'au début de cette année, une personne se présentant comme représentant d'une certaine entreprise a contacté des employés de Sky Mavis, le développeur d'Axie Infinity, via un réseau social professionnel, les encourageant à postuler. Après plusieurs entretiens, un ingénieur de Sky Mavis a obtenu un poste bien rémunéré.
Ensuite, l'ingénieur a reçu un faux avis d'embauche au format PDF. Après avoir téléchargé ce document, le logiciel Hacker a réussi à infiltrer le système de Ronin. Les hackers ont immédiatement attaqué et pris le contrôle de quatre des neuf validateurs sur le réseau Ronin, n'étant qu'à un pas de contrôler entièrement le réseau.
Sky Mavis a déclaré dans son rapport d'après événement publié le 27 avril : "Nos employés continuent de faire face à diverses attaques de phishing avancées sur les canaux sociaux, et un de nos employés a malheureusement été compromis. Cet employé a depuis quitté l'entreprise. L'attaquant a utilisé l'accès obtenu pour infiltrer l'infrastructure informatique de Sky Mavis et a pris le contrôle des nœuds de validation."
Dans la blockchain, les validateurs sont responsables de la création des blocs de transactions et de la mise à jour des oracles de données, entre autres fonctions. Ronin utilise un système de "preuve d'autorité" pour la signature des transactions, concentrant le pouvoir entre les mains de neuf validateurs de confiance.
La société d'analyse blockchain Elliptic a expliqué : "Dès que cinq des neuf validateurs approuvent, des fonds peuvent être transférés. L'attaquant a réussi à obtenir les clés privées de cinq validateurs, suffisantes pour voler des actifs cryptographiques."
Bien que les hackers aient réussi à infiltrer le système Ronin grâce à de fausses annonces de recrutement, ils ne contrôlent que quatre des neuf validateurs et ont besoin d'un validateur supplémentaire pour prendre le contrôle total.
Sky Mavis a révélé dans son rapport que le Hacker a finalement utilisé l'Axie DAO (une organisation qui soutient l'écosystème de jeu) pour mener l'attaque. Sky Mavis avait demandé l'aide de la DAO en novembre 2021 pour gérer une charge de transactions lourde.
"Axie DAO permet à Sky Mavis de signer diverses transactions en son nom. Cette pratique a été arrêtée en décembre 2021, mais l'accès à la liste des autorisations n'a pas été révoqué, " a expliqué Sky Mavis, "une fois que l'attaquant a accès au système de Sky Mavis, il peut obtenir des signatures des validateurs d'Axie DAO."
Un mois après l'attaque des hackers, Sky Mavis a augmenté le nombre de ses nœuds de validation à 11 et a déclaré que l'objectif à long terme était d'avoir plus de 100 nœuds.
Sky Mavis a terminé un financement de 150 millions de dollars dirigé par une plateforme d'échange au début du mois d'avril. Ces fonds seront utilisés avec les fonds propres de l'entreprise pour indemniser les utilisateurs affectés par l'attaque. La société a récemment annoncé qu'elle commencerait à rembourser les utilisateurs le 28 juin. Le pont Ethereum Ronin, suspendu après l'attaque, a également été relancé la semaine dernière.
Une enquête récente publiée par l'agence de sécurité ESET Research révèle que le groupe Lazarus de Corée du Nord abuse des plateformes de réseaux sociaux professionnels et des logiciels de messagerie instantanée pour attaquer des entrepreneurs en aérospatial et en défense. Cependant, le rapport ne lie pas directement cette technique à l'attaque par un hacker subie par Sky Mavis.
Une autre agence de sécurité a publié un avertissement en avril de cette année, indiquant que le groupe APT Lazarus, lié à la Corée du Nord, utilise une série d'applications malveillantes pour mener des attaques APT ciblées contre l'industrie des cryptomonnaies. Leurs principaux moyens incluent :
Pour faire face à ce type de menace, les experts en sécurité recommandent les mesures préventives suivantes :