Comment une fausse offre d'emploi a permis de voler 540 millions de dollars à Axie Infinity ?
TechFlow SélectionTechFlow Sélection
Comment une fausse offre d'emploi a permis de voler 540 millions de dollars à Axie Infinity ?
Trojan caché dans l'offre.
Dédié à des analyses Web3 approfondies
Auteur original : Ryan Weeks
Traduction : Katie Gu
Au début de cette année, des hackers ont piégé un ingénieur senior d’Axie Infinity en le faisant postuler à un emploi dans une entreprise fictive, entraînant ainsi une perte de 540 millions de dollars en cryptomonnaies pour Axie Infinity. Voici les détails de l’attaque contre Axie Infinity rapportés par The Block.
Peu d'expériences de recherche d'emploi peuvent être aussi dramatiques que celle vécue par l'ingénieur senior d'Axie Infinity. Son intérêt pour un poste dans une entreprise imaginaire a finalement conduit à l'une des plus grandes attaques de l'histoire du secteur cryptographique.
En novembre dernier, Axie Infinity comptait jusqu'à 2,7 millions d'utilisateurs actifs quotidiens pour ses NFT internes au jeu, avec un volume hebdomadaire de transactions atteignant 214 millions de dollars (ces deux chiffres ont fortement chuté depuis).
En mars, Ronin, la sidechain Ethereum du leader des jeux blockchain Play-to-Earn Axie Infinity, a perdu pour 540 millions de dollars de cryptomonnaies. Bien que le gouvernement américain ait par la suite lié cet incident au groupe nord-coréen de hackers Lazarus, tous les détails sur la manière dont l'attaque a été menée n'avaient pas encore été révélés. En réalité, la chute de Ronin a été causée par une simple fausse annonce de recrutement. Deux personnes ayant connaissance de l'affaire affirment qu'un ingénieur senior d'Axie Infinity a été trompé pour qu'il postule à un emploi dans une entreprise qui n'existait pas. En raison de la sensibilité de l'affaire, ces deux sources ont requis l'anonymat.
Selon des sources proches du dossier, au début de cette année, une personne se faisant passer pour un représentant de cette entreprise fictive a contacté un employé de Sky Mavis, le développeur d'Axie Infinity, via LinkedIn et WhatsApp, l'attirant avec une opportunité professionnelle alléchante. Après plusieurs tours d'entretiens, un ingénieur de Sky Mavis aurait reçu une offre d'emploi extrêmement lucrative.
Cette fausse offre était transmise sous forme de fichier PDF ; l'ingénieur a téléchargé ce document, permettant ainsi à un cheval de Troie de s'infiltrer dans le système de Ronin. À partir de ce moment, les hackers ont pu attaquer et prendre le contrôle de 4 des 9 validateurs du réseau Ronin, n’ayant besoin que d’un seul validateur supplémentaire pour en obtenir le contrôle total.
Dans un billet publié le 27 avril, Sky Mavis a analysé cette cyberattaque : « Les employés sont constamment confrontés à des attaques de phishing sophistiquées sur divers canaux sociaux, et l’un d’eux a effectivement été victime d’une telle attaque. Cet employé ne travaille plus chez Sky Mavis. Les attaquants ont réussi à exploiter ce droit d’accès pour pénétrer l’infrastructure informatique de Sky Mavis et obtenir un accès aux nœuds validateurs. »
Les validateurs jouent divers rôles dans une blockchain, notamment la création de blocs de transactions et la mise à jour des oracles de données. Ronin utilise un système dit de « preuve d'autorité » (proof of authority) pour signer les transactions, concentrant le pouvoir entre les mains de 9 validateurs de confiance.
La société d’analyse blockchain Elliptic a expliqué dans un article de blog publié en avril : « Si cinq des neuf validateurs approuvent une transaction, les fonds peuvent être transférés. Les attaquants ont réussi à obtenir les clés cryptographiques privées de 5 validateurs, ce qui leur a suffi pour voler les actifs numériques. »
Cependant, après avoir pénétré le système Ronin grâce à la fausse offre d’emploi, les hackers contrôlaient seulement 4 des 9 validateurs — ce qui signifiait qu’il leur manquait encore un validateur pour prendre le contrôle total du système Ronin.
Dans son analyse a posteriori, Sky Mavis a révélé que les hackers avaient réussi à exploiter Axie DAO, une organisation soutenant l’écosystème du jeu, pour mener à bien le vol. Sky Mavis avait en effet demandé à Axie DAO en novembre 2021 de l’aider à gérer la charge des transactions.
« Axie DAO a autorisé Sky Mavis à signer diverses transactions en son nom. Cette autorisation a été suspendue en décembre 2021, mais la liste d'accès n'a pas été révoquée », a indiqué Sky Mavis dans son billet. « Une fois infiltrés dans le système de Sky Mavis, les attaquants ont pu obtenir des signatures depuis le validateur d’Axie DAO. »
Un mois après l’attaque, Sky Mavis a augmenté le nombre de ses nœuds validateurs à 11 et a indiqué dans son billet que son objectif à long terme est d’en dépasser les 100.
Lorsque nous avons contacté Sky Mavis, l’entreprise a refusé de commenter la manière dont l’attaque avait été menée. LinkedIn a également refusé à plusieurs reprises de faire une déclaration.
Ce matin, la société de recherche ESET a publié une enquête démontrant que le groupe nord-coréen de hackers Lazarus utilisait LinkedIn et WhatsApp en se faisant passer pour des recruteurs, ciblant principalement des entreprises du secteur aérospatial et de la défense. Toutefois, ce rapport n’établit aucun lien entre cette technique et l’attaque contre Sky Mavis.
Début avril, Sky Mavis a levé 150 millions de dollars lors d’un tour de financement dirigé par Binance. Ces fonds seront combinés aux réserves de l’entreprise afin d’indemniser les utilisateurs affectés par la faille. Axie Infinity a récemment annoncé qu’il commencerait à rembourser les utilisateurs à partir du 28 juin. Le pont Ethereum de Ronin, interrompu brutalement lors de l’attaque, a également été relancé la semaine dernière.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
