從日入1500萬美元到崩盤 一份虛假招聘讓Axie Infinity損失6億美元

去年 8 月,主打邊玩邊賺(Play-to-Earn)模式的《Axie Infinity》可謂是風頭無兩。這款受寶可夢啟發的遊戲每天為開發商 Sky Mavis 帶來超過 1500 萬美元的收入,而東南亞的一些玩家也通過這款遊戲賺取了足夠多的加密貨幣。

41u29o88.webp

只是在過去短短 11 個月間,這種情況發生了翻天覆地的變化。Axie NFTs 和遊戲中的 Smooth Love Potion 加密貨幣的價格已經崩潰了。原因有很多,但其中一個最重要的原因是 3 月份發生的黑客攻擊。

一名黑客成功利用 Axie Infinity 使用的 Ronin 區塊鏈,盜取了價值 6.2 億美元的加密貨幣。Sky Mavis 之前說這是通過一個網絡釣魚計劃實現的,美國政府表示本次攻擊是由黑客組織 Lazarus 發起的。

在本周三發布的一份報告中,The Block 詳細介紹了這次黑客攻擊是如何通過社會工程實現的。

援引熟悉此事的消息來源報道,一名高級 Sky Mavis 工程師被 LinkedIn 上的“招聘人員”盯上,他們希望將他簽到他們的公司。招聘過程包括幾次面試,最後通過 PDF 發送了一份工作邀請。然而,該公司並不存在–而且該 PDF 文件中夾雜着間諜軟件。

Ronin是一個權力證明區塊鏈,這意味着對網絡的控制權交給了親自挑選的驗證者。在黑客事件發生時,Axie Infinity有九個驗證者。壞人要控制Ronin,他們需要控制這九個驗證人中的五個。

對於一個壞的行為者來說,要完全控制使用工作證明的比特幣區塊鏈,他們將需要世界上每個比特幣礦工所使用的 51% 的電力。雖然比特幣被設計成不惜一切代價的安全,但 Ronin 的唯一目的是為 Axie Infinity 玩家提供廉價、快速的交易。

Axie Infinity看到玩家與Axie怪物戰鬥和繁殖,這些怪物是作為NFT擁有的。在高峰期,最底層的Axies每隻售價超過300美元。現在它們的價格要低得多 — 阿克塞斯的售價通常低於10美元。

據 The Block 報道,封裝在該 PDF 中的間諜軟件使黑客能夠控制 Ronin 的九個驗證器中的四個。黑客隨後獲得了社區運行的 Axie DAO 的訪問權,它可以訪問另外一個驗證器。一旦他們控制了網絡,黑客就把 Axie Infinity 的 2500 萬美元的 USDC 穩定幣和 173,600 個以太坊的庫房榨乾。在以太坊價格大幅下跌后,現在盜取的總價值為 2.29 億美元。

記者聯繫了Sky Mavis尋求評論,但沒有立即回應。在 4 月份的事後總結中,Axie 團隊寫道:“Sky Mavis的員工在各種社會渠道上不斷受到高級魚叉式釣魚攻擊,有一名員工被攻破。這名員工已不在Sky Mavis工作。攻擊者成功地利用這一權限滲透到Sky Mavis的IT基礎設施,並獲得了對驗證器節點的訪問權”。

(0)
上一篇 2022-07-07 14:20
下一篇 2022-07-07 14:20

相关推荐