Kỹ sư cao cấp Axie Infinity trở thành chất xúc tác cho cuộc tấn công của Hacker

Một kinh nghiệm xin việc của một kỹ sư cấp cao Axie Infinity đã gây ra một trong những sự kiện tấn công Hacker lớn nhất trong ngành công nghiệp tiền điện tử. Kỹ sư này đã vô tình ứng tuyển vào một vị trí của một công ty hư cấu, dẫn đến việc chuỗi phụ Ethereum Ronin chuyên dụng cho Axie Infinity gặp phải lỗ hổng bảo mật nghiêm trọng.

Vào tháng 3 năm nay, Ronin đã遭遇 Hacker tấn công, thiệt hại lên tới 540 triệu đô la Mỹ tiền mã hóa. Mặc dù chính phủ Mỹ sau đó đã liên kết sự việc này với tổ chức Hacker Lazarus của Triều Tiên, nhưng các chi tiết cụ thể của cuộc tấn công vẫn chưa được công khai hoàn toàn.

Theo thông tin, sự việc này bắt nguồn từ một quảng cáo tuyển dụng giả. Có nguồn tin cho biết, vào đầu năm nay, một người tự xưng là đại diện cho một công ty đã liên lạc với nhân viên của nhà phát triển Axie Infinity, Sky Mavis, qua nền tảng mạng xã hội nghề nghiệp, khuyến khích họ nộp đơn xin việc. Sau nhiều vòng phỏng vấn, một kỹ sư của Sky Mavis đã nhận được một vị trí với mức lương cao.

Sau đó, kỹ sư nhận được một thông báo tuyển dụng giả dưới định dạng PDF. Sau khi tải xuống tài liệu này, Hacker đã thành công thâm nhập vào hệ thống của Ronin. Hacker ngay lập tức tấn công và chiếm quyền kiểm soát bốn trong số chín xác thực viên trên mạng Ronin, chỉ còn một bước nữa là có thể hoàn toàn kiểm soát toàn bộ mạng.

Sky Mavis trong báo cáo sau sự kiện được phát hành vào ngày 27 tháng 4 cho biết: "Nhân viên của chúng tôi liên tục phải đối mặt với các cuộc tấn công lừa đảo nâng cao trên nhiều kênh xã hội, trong đó một nhân viên không may đã bị xâm nhập. Nhân viên đó hiện đã nghỉ việc. Kẻ tấn công đã lợi dụng quyền truy cập mà họ có được để xâm nhập vào cơ sở hạ tầng CNTT của Sky Mavis và kiểm soát các nút xác thực."

Trong blockchain, các xác thực viên chịu trách nhiệm tạo khối giao dịch và cập nhật nhiều chức năng của oracle dữ liệu. Ronin sử dụng hệ thống "chứng minh quyền lực" để ký giao dịch, tập trung quyền lực vào tay chín xác thực viên đáng tin cậy.

Công ty phân tích blockchain Elliptic giải thích: "Chỉ cần năm trong chín người xác nhận đồng ý, thì có thể chuyển tiền. Kẻ tấn công đã thành công trong việc lấy được khóa riêng của năm người xác nhận, đủ để đánh cắp tài sản tiền điện tử."

Mặc dù hacker đã thành công thâm nhập hệ thống Ronin qua quảng cáo tuyển dụng giả, nhưng họ chỉ kiểm soát được bốn trong số chín xác thực viên và cần thêm một xác thực viên nữa để hoàn toàn nắm quyền.

Sky Mavis đã báo cáo rằng Hacker cuối cùng đã lợi dụng Axie DAO (một tổ chức hỗ trợ hệ sinh thái trò chơi) để thực hiện cuộc tấn công. Sky Mavis đã yêu cầu DAO hỗ trợ xử lý khối lượng giao dịch nặng vào tháng 11 năm 2021.

"Axie DAO cho phép Sky Mavis đại diện cho nó ký kết các giao dịch khác nhau. Hành động này đã dừng lại vào tháng 12 năm 2021, nhưng quyền truy cập vào danh sách cấp phép không bị thu hồi," Sky Mavis giải thích, "khi kẻ tấn công có được quyền truy cập vào hệ thống của Sky Mavis, họ có thể nhận được chữ ký từ các trình xác thực của Axie DAO."

Một tháng sau khi xảy ra cuộc tấn công của hacker, Sky Mavis đã tăng số lượng nút xác minh lên 11 và cho biết mục tiêu lâu dài là có hơn 100 nút.

Sky Mavis đã hoàn thành vòng tài trợ 150 triệu đô la do một sàn giao dịch đứng đầu vào đầu tháng 4. Số tiền này sẽ được sử dụng cùng với vốn tự có của công ty để bồi thường cho người dùng bị ảnh hưởng bởi cuộc tấn công. Công ty gần đây thông báo sẽ bắt đầu hoàn trả tiền cho người dùng vào ngày 28 tháng 6. Cây cầu Ethereum Ronin đã bị tạm dừng sau cuộc tấn công cũng đã được khởi động lại vào tuần trước.

Cơ quan an ninh ESET Research gần đây đã công bố một cuộc khảo sát cho thấy, tổ chức Lazarus của Triều Tiên đã lạm dụng các nền tảng mạng xã hội nghề nghiệp và phần mềm nhắn tin tức thời để tấn công các nhà thầu trong ngành hàng không vũ trụ và quốc phòng. Tuy nhiên, báo cáo này không liên kết trực tiếp kỹ thuật này với cuộc tấn công của Hacker mà Sky Mavis đã phải chịu.

Một cơ quan an ninh khác đã phát đi cảnh báo an ninh vào tháng 4 năm nay, chỉ ra rằng tổ chức APT của Triều Tiên Lazarus Group đang sử dụng một loạt ứng dụng độc hại để thực hiện các cuộc tấn công APT nhằm vào ngành công nghiệp tiền điện tử. Các phương thức chính của họ bao gồm:

1. Đóng vai trò khác nhau trên các nền tảng mạng xã hội lớn.
2. Liên hệ và trò chuyện với các nhà phát triển trong ngành công nghiệp blockchain, chuẩn bị cho các hành động tiếp theo.
3. Xây dựng một trang web giao dịch có vẻ bình thường, lấy lý do tuyển dụng nhân viên thuê ngoài.
4. Lừa đảo để chiếm được lòng tin của các nhà phát triển, sau đó gửi các cuộc tấn công lừa đảo chứa phần mềm độc hại.

Đối với loại mối đe dọa này, các chuyên gia an ninh đã đưa ra các khuyến nghị phòng ngừa sau đây:

1. Nhân viên trong ngành nên chú ý đến thông tin an ninh từ các nền tảng đe dọa lớn trong và ngoài nước, thực hiện tự kiểm tra và giữ cảnh giác cao.
2. Các nhà phát triển cần thực hiện các kiểm tra an toàn cần thiết trước khi chạy chương trình thực thi.
3. Thiết lập cơ chế không tin cậy, giảm hiệu quả rủi ro do những mối đe dọa này mang lại.
4. Người dùng Mac/Windows sử dụng máy thật nên giữ phần mềm bảo mật có tính năng bảo vệ thời gian thực được bật và cập nhật kịp thời cơ sở dữ liệu virus mới nhất.