Как предложение о работе привело к краже 625 миллионов долларов у игры Axie Infinity

Издание The Block выпустило подробности взлома игры. Оригинал статьи можно прочитать по ссылке.

На пике развития блокчейн-игры Axie Infinity игроки могли полностью обеспечивать себя, получая вознаграждения в токенах AXS. На данный момент награды уменьшились, но пользовательская база по-прежнему большая. Play-to-Earn (P2E) — популярное направление в криптоиндустрии, собравшее вокруг себя множество игроков и активное сообщество. В ноябре прошлого года игра могла похвастаться почти тремя миллионами ежедневных пользователей. По данным Bloomberg, теперь эта цифра снизилась до 650 000 в день. Еженедельный объем торговли внутриигровыми NFT в ноябре 2021 года составлял 214 миллионов долларов, на начало июля он едва превышает $559 000.

Ronin Network — сайдчейн, лежащий в основе Axie Infinity. Это технология, позволяющая токенам одного блокчейна использоваться в другом, и затем при необходимости быть возвращенными в оригинальный блокчейн. 23 марта из-за хакерской атаки Ronin потерял 625 миллионов долларов. Правительство США позже связало этот инцидент с северокорейской хакерской группой Lazarus, однако детали того, как именно осуществлялась атака, не публиковались. По словам собеседников The Block, непосредственно знакомых с ситуацией, к взлому привела неосторожность одного из разработчиков, открывшего файл с замаскированным вредоносным ПО.

В начале года сотрудникам компании Sky Mavis (разработчик Axie Infinity) начали приходить регулярные фейковые предложения о работе через соцсеть LinkedIn. Одного из них удалось ввести в заблуждение. После нескольких раундов собеседования ему предложили работу с щедрым вознаграждением. Злоумышленники отправили ему поддельный оффер в виде PDF-документа, содержащего вредоносный код. Запущенный скрипт позволил вредоносному ПО проникнуть во внутренние системы Ronin Network. В результате хакеры захватили четыре из девяти валидаторов в сети, после чего им не хватило всего одного для полного контроля над сетью.

Валидаторы принимают активное участие в построении блокчейна, они подтверждают транзакции и добывают новые блоки с токенами в сети. Система защиты Ronin Network использовала девять валидаторов для подтверждения транзакции, но для ввода или вывода средств системе достаточно получить подтверждения от пяти из них. Позже аналитическая компания Elliptic также подтвердила, что средства могут быть выведены, если пять из девяти валидаторов это одобрят.

Доступ к пятому валидатору хакеры получили через Axie DAO — децентрализованную автономную организацию, созданную для поддержки игровой экосистемы. Ранее Sky Mavis уже обращалась в Axie DAO, чтобы справиться с большой нагрузкой сети. «Axie DAO позволила Sky Mavis подписывать транзакции от своего имени. Это прекратилось в декабре 2021 года, но доступ к разрешительному списку не отозвали. Как только злоумышленники вошли в систему, они получили подпись от валидатора Axie DAO», — сообщается в блоге. Через месяц после взлома компания Sky Mavis увеличила количество валидаторов до одиннадцати и заявила в блоге, что ставит долгосрочной целью иметь более ста.

В начале апреля Sky Mavis привлекла 150 миллионов долларов в ходе инвестиционного раунда под руководством биржи Binance. Вырученные средства, наряду с собственными, будут использованы в том числе для возмещения ущерба пользователям, пострадавшим от эксплойта. Компания вернула средства 28 июня. Ethereum-мост Ronin Network после внезапной остановки во время взлома также возобновил работу в этот день.

В 2022 году в результате взломов криптопроекты в общей сложности потеряли токены на 2 миллиарда долларов, согласно данным The Block Research. За весь 2021 год сумма украденного, по тем же данным, составляла $760 млн. Похожим образом с помощью уловок с замаскированным вредоносным ПО взломали такие проекты, как Badger DAO на 120 млн долларов и Beanstalk на 182 млн. NFT-проекты хакеры также не обошли стороной. 4 мая злоумышленники взломали Discord-аккаунты администраторов проекта Bored Ape Yacht Club (BAYC) и разместили фишинговые ссылки от их имени в канале. В итоге у держателей NFT похитили активы на сумму 200 ETH (~$360 000 на момент атаки).