В марте этого года из сетевой игры Axie Infinity была похищена криптовалюта на сумму 620 миллионов долларов. И хотя следственные органы до конца не раскрыли, как это было сделано, похоже, что все началось с мошеннического объявления о приеме на работу.
Axie Infinity, разработанная вьетнамской студией Sky Mavis, представляет собой стратегическую онлайн-видеоигру, позволяющую пользователям выращивать и обменивать цифровых питомцев под названием Axies. Во внутриигровой экономике игры используются криптовалюты на базе Ethereum. В период своего расцвета этот проект мог похвастаться 2,7 миллионами ежедневных пользователей и еженедельным объемом торгов в $214 миллионов, сообщает The Block.
В марте хакерам удалось взломать блокчейн Ronin, который Axie Infinity использовала для своих криптовалютных транзакций, и похитить 173 600 токенов эфириума и 25,5 миллионов USDC, стейблкоинов. На момент ограбления рыночная стоимость похищенной криптовалюты составляла более 620 миллионов долларов, что сделало ее одной из крупнейших криптовалютных преступлений в мире.
Согласно отчёту The Block, к сотрудникам Sky Mavis начали поступать обращения через Linkedin с предложением подать заявление о приёме на работу. Соискатели проходили многочисленные собеседования, только вот люди, проводившие их, представляли несуществующие компании.
В какой-то момент одному из ведущих специалистов компании Mavis поступило предложение о работе с чрезвычайно щедрым компенсационным пакетом. В ответ на запрос он получил письмо в формате PDF. Шпионский программный код, интегрированный в PDF-документ, позволил хакерам проникнуть в систему Ronin и получить контроль над четырьмя валидаторами сети, о чем компания упомянула в отчете об инциденте.
Для валидации транзакций в сети Ronin используется система "подтверждения полномочий". До момента взлома в сети работало девять узлов-валидаторов, и для того, чтобы провести операцию требуется подтверждение не менее пяти подписей. Шпионская атака позволила хакерам получить контроль над четырьмя такими узлами, но для осуществления ограбления нужен был еще один.
Он был получен по недосмотру руководства Axie Infinity, которое обратилось за помощью к Axie DAO (децентрализованной автономной организации) - для устранения высокой нагрузке на сеть в ноябре 2021 года. В течение месяца DAO выступала в качестве дополнительного валидатора для сети, однако впоследствии ее доступ так и не был аннулирован. Получив контроль над системами Sky Mavis, хакеры проникли в валидатор DAO и использовали его полномочия для совершения ограбления.
Расследование, проведенное федеральными агентствами США, связало ограбление с преступной группировкой Lazarus Group, поддерживаемой властями Северной Кореи. Кроме того, издание The Block сообщило, что в ходе расследования, проведенного компанией, занимающейся вопросами интернет-безопасности, было установлено, что члены Lazarus Group используя Whatsapp и Linkedin, выдавали себя за сотрудников по подбору персонала и целенаправленно атаковали подрядчиков аэрокосмической и оборонной промышленности.
Ранее в этом году в докладе, представленном в Организацию Объединенных Наций, сообщалось, что Северная Корея использует украденные криптовалюты для финансирования своей программы по разработке оружия. Для этого ей необходимо было привлечь к сотрудничеству других участников криптовалютного рынка, которые позволили бы незаметно переводить украденные криптоактивы через всемирную сеть Интернет.
В мае Казначейство США применило санкции к Blender.io, платформе для обмена виртуальных валют, которая предположительно была вовлечена в отмывание более $20,5 млн, украденных у Axie Infinity, сообщает Business Insider в своем отчете.
Источники: Business Insider, Ronin Blockchain, The Block
(https://roninblockchain.substack.com/p/back-to-building-ronin-security-breach)
(https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game)
(https://www.businessinsider.in/cryptocurrency/news/hackers-pulled-off-a-620-million-crypto-heist-by-tricking-an-engineer-into-applying-for-a-fake-job-and-opening-an-offer-letter-containing-spyware-report-says/articleshow/92732503.cms)