Insinyur Senior Axie Infinity Menjadi Pemicu Serangan Hacker

Pengalaman pencarian kerja seorang insinyur senior Axie Infinity memicu salah satu insiden peretasan terbesar di industri kripto. Insinyur tersebut secara tidak sengaja melamar posisi di sebuah perusahaan fiktif, yang menyebabkan rantai samping Ethereum khusus Axie Infinity, Ronin, mengalami kerentanan keamanan yang serius.

Pada bulan Maret tahun ini, Ronin mengalami serangan Hacker yang mengakibatkan kerugian hingga 540 juta dolar AS dalam bentuk cryptocurrency. Meskipun pemerintah AS kemudian mengaitkan insiden ini dengan kelompok Hacker Korea Utara, rincian spesifik dari serangan tersebut belum sepenuhnya dipublikasikan.

Diketahui bahwa insiden ini berasal dari sebuah iklan perekrutan palsu. Sumber yang mengetahui hal ini mengungkapkan bahwa awal tahun ini, seseorang yang mengaku mewakili suatu perusahaan menghubungi karyawan pengembang Axie Infinity, Sky Mavis, melalui platform jejaring sosial profesional dan mendorong mereka untuk melamar pekerjaan. Setelah melalui beberapa putaran wawancara, seorang insinyur Sky Mavis mendapatkan posisi dengan gaji tinggi.

Kemudian, insinyur tersebut menerima surat pemberitahuan penerimaan palsu dalam format PDF. Setelah mengunduh dokumen ini, Hacker berhasil menyusup ke sistem Ronin. Hacker segera menyerang dan mengambil alih empat dari sembilan validator di jaringan Ronin, hanya satu lagi untuk sepenuhnya mengendalikan seluruh jaringan.

Sky Mavis dalam laporan pasca peristiwa yang dirilis pada 27 April menyatakan: "Karyawan kami terus menghadapi berbagai serangan phishing tingkat tinggi di berbagai saluran sosial, di mana salah satu karyawan kami sayangnya telah menjadi korban. Karyawan tersebut saat ini telah mengundurkan diri. Penyerang memanfaatkan akses yang diperoleh untuk menyusup ke infrastruktur TI Sky Mavis dan menguasai kontrol atas node validasi."

Dalam blockchain, validator bertanggung jawab untuk membuat blok transaksi dan memperbarui oracle data serta berbagai fungsi lainnya. Ronin menggunakan sistem "bukti otoritas" untuk penandatanganan transaksi, yang mengonsentrasikan kekuasaan di tangan sembilan validator terpercaya.

Perusahaan analisis blockchain Elliptic menjelaskan: "Selama lima dari sembilan validator menyetujui, dana dapat dipindahkan. Penyerang berhasil mendapatkan kunci pribadi dari lima validator, cukup untuk mencuri aset kripto."

Meskipun Hacker berhasil menyusup ke sistem Ronin melalui iklan lowongan pekerjaan palsu, mereka hanya mengendalikan empat dari sembilan validator, dan masih perlu satu validator tambahan untuk menguasai sepenuhnya.

Sky Mavis mengungkapkan dalam laporan bahwa Hacker akhirnya memanfaatkan Axie DAO (sebuah organisasi yang mendukung ekosistem permainan) untuk menyelesaikan serangan tersebut. Sky Mavis pernah meminta bantuan DAO pada November 2021 untuk menangani beban transaksi yang berat.

"Axie DAO memungkinkan Sky Mavis untuk menandatangani berbagai transaksi atas namanya. Praktik ini dihentikan pada bulan Desember 2021, tetapi akses ke daftar izin tidak dicabut," jelas Sky Mavis, "setelah penyerang mendapatkan akses ke sistem Sky Mavis, mereka dapat memperoleh tanda tangan dari validator Axie DAO."

Setelah serangan hacker terjadi selama sebulan, Sky Mavis menambah jumlah node verifikasinya menjadi 11 dan menyatakan bahwa tujuan jangka panjang adalah memiliki lebih dari 100 node.

Sky Mavis menyelesaikan pendanaan sebesar 150 juta USD yang dipimpin oleh suatu platform perdagangan pada awal April. Dana ini akan digunakan bersama dengan dana internal perusahaan untuk mengkompensasi pengguna yang terkena dampak serangan. Perusahaan baru-baru ini mengumumkan akan mulai mengembalikan dana kepada pengguna pada tanggal 28 Juni. Jembatan Ethereum Ronin yang ditangguhkan setelah serangan hacker juga telah dimulai kembali minggu lalu.

Sebuah survei yang baru-baru ini dirilis oleh lembaga keamanan ESET Research menunjukkan bahwa organisasi Lazarus dari Korea Utara menyalahgunakan platform jejaring sosial profesional dan perangkat lunak pesan instan untuk menyerang kontraktor di bidang dirgantara dan pertahanan. Namun, laporan tersebut tidak secara langsung mengaitkan teknik ini dengan serangan hacker yang dialami oleh Sky Mavis.

Sebuah lembaga keamanan lainnya mengeluarkan peringatan keamanan pada bulan April tahun ini, yang menunjukkan bahwa kelompok APT Korea Utara, Lazarus Group, menggunakan serangkaian aplikasi berbahaya untuk melakukan serangan APT yang terarah terhadap industri mata uang digital. Metode utama mereka meliputi:

1. Memainkan peran yang berbeda di berbagai platform media sosial
2. Berinteraksi dan berbicara dengan pengembang industri blockchain, mempersiapkan tindakan selanjutnya.
3. Mendirikan situs web perdagangan yang tampak normal, dengan dalih merekrut karyawan outsourcing.
4. Setelah mendapatkan kepercayaan pengembang, kirim serangan phishing yang mengandung malware.

Untuk mengatasi ancaman ini, para ahli keamanan memberikan saran pencegahan berikut:

1. Tenaga kerja industri harus memperhatikan dengan cermat informasi keamanan dari berbagai platform ancaman domestik dan internasional, melakukan pemeriksaan mandiri, dan tetap waspada.
2. Pengembang harus melakukan pemeriksaan keamanan yang diperlukan sebelum menjalankan program yang dapat dieksekusi.
3. Membangun mekanisme zero trust untuk secara efektif mengurangi risiko yang ditimbulkan oleh ancaman semacam ini.
4. Pengguna Mac/Windows dengan mesin fisik harus menjaga perlindungan waktu nyata perangkat lunak keamanan tetap aktif dan memperbarui basis data virus terbaru tepat waktu.