Một Offer giả đã đánh cắp 540 triệu USD từ Axie Infinity như thế nào?
Tuyển chọn TechFlowTuyển chọn TechFlow
Một Offer giả đã đánh cắp 540 triệu USD từ Axie Infinity như thế nào?
Offer ẩn mã độc.
Chuyên sâu báo cáo Web3
Tác giả gốc: Ryan Weeks
Dịch: Katie辜
Vào đầu năm nay, tin tặc đã lừa một kỹ sư cấp cao của Axie Infinity nộp đơn xin việc tại một công ty tưởng tượng, dẫn đến thiệt hại 540 triệu đô la tiền mã hóa cho Axie Infinity. Dưới đây là chi tiết vụ tấn công Axie Infinity do The Block đưa tin.
Hiếm có trải nghiệm xin việc nào lại kinh hoàng bằng trường hợp của kỹ sư cấp cao tại Axie Infinity. Sự quan tâm của anh ta đến việc gia nhập một công ty không tồn tại cuối cùng đã dẫn tới một trong những vụ tấn công lớn nhất ngành tiền mã hóa.
Vào tháng 11 năm ngoái, Axie Infinity từng đạt mức 2,7 triệu người dùng hoạt động hàng ngày và giao dịch trị giá 214 triệu đô la mỗi tuần (cả hai con số này sau đó đều giảm mạnh).
Tuy nhiên vào tháng 3 năm nay, Ronin – chuỗi bên của trò chơi P2E hàng đầu Axie Infinity trên Ethereum – đã mất đi lượng tiền mã hóa trị giá 540 triệu đô la. Mặc dù chính phủ Mỹ sau đó liên kết sự kiện này với nhóm tin tặc Triều Tiên Lazarus, nhưng các chi tiết cụ thể về cách thức thực hiện cuộc tấn công vẫn chưa được tiết lộ. Thực tế, điều phá hủy Ronin chỉ đơn giản là một quảng cáo tuyển dụng giả mạo. Hai nguồn tin am hiểu sự việc cho biết một kỹ sư cấp cao của Axie Infinity đã bị lừa nộp đơn ứng tuyển vào một vị trí tại một công ty thực ra không hề tồn tại. Vì tính nhạy cảm của sự việc, cả hai nhân vật này đều yêu cầu giấu tên.
Theo các nguồn tin, vào đầu năm nay, những người tự xưng là đại diện của công ty ma này đã tiếp cận nhân viên của Sky Mavis – nhà phát triển Axie Infinity – qua LinkedIn và WhatsApp, dụ dỗ anh ta bằng cơ hội việc làm mới. Nguồn tin cho biết, sau nhiều vòng phỏng vấn, kỹ sư của Sky Mavis nhận được một lời mời làm việc với mức lương cực kỳ hấp dẫn.
Lời đề nghị giả mạo này được gửi dưới dạng tập tin PDF; kỹ sư đã tải xuống tập tin đó — tạo điều kiện cho phần mềm độc hại xâm nhập vào hệ thống Ronin. Từ thời điểm đó, tin tặc có thể tấn công và chiếm quyền kiểm soát 4 trong số 9 bộ xác thực trên mạng Ronin, chỉ còn thiếu 1 bộ nữa là đủ để kiểm soát hoàn toàn.
Trong một bài đăng blog ngày 27 tháng 4, Sky Mavis phân tích vụ tấn công: “Nhân viên liên tục chịu các cuộc tấn công lừa đảo tinh vi qua nhiều kênh xã hội khác nhau, và một nhân viên đã bị tấn công. Người này hiện không còn làm việc tại Sky Mavis. Tin tặc đã thành công khai thác quyền truy cập này để thâm nhập vào hạ tầng CNTT của Sky Mavis và giành quyền truy cập vào các nút xác thực.”
Bộ xác thực trong blockchain đảm nhiệm nhiều chức năng như tạo khối giao dịch và cập nhật dữ liệu oracle. Ronin sử dụng hệ thống “proof of authority” (bằng chứng ủy quyền) để ký các giao dịch, tập trung quyền lực vào tay 9 bộ xác thực đáng tin cậy.
Công ty phân tích blockchain Elliptic giải thích trong một bài blog tháng 4 năm nay: “Nếu 5 trong số 9 bộ xác thực đồng ý, tiền có thể được chuyển đi. Tin tặc đã lấy được khóa mã hóa riêng tư của 5 bộ xác thực, đủ để đánh cắp tài sản tiền mã hóa.”
Tuy nhiên, sau khi xâm nhập thành công vào hệ thống Ronin thông qua quảng cáo tuyển dụng giả, tin tặc lúc này mới chỉ kiểm soát được 4 trong số 9 bộ xác thực — nghĩa là họ cần thêm một bộ nữa để kiểm soát toàn bộ hệ thống Ronin.
Trong phân tích sau sự cố, Sky Mavis tiết lộ tin tặc đã thành công lợi dụng Axie DAO (một tổ chức hỗ trợ hệ sinh thái trò chơi) để hoàn tất vụ đánh cắp. Sky Mavis từng đề nghị Axie DAO giúp xử lý vấn đề tải giao dịch vào tháng 11 năm 2021.
“Axie DAO cho phép Sky Mavis thay mặt tổ chức này ký các giao dịch khác nhau. Việc này được tạm dừng vào tháng 12 năm 2021, nhưng danh sách truy cập vẫn chưa bị thu hồi,” Sky Mavis viết trong bài blog. “Ngay khi tin tặc xâm nhập hệ thống Sky Mavis, họ đã có thể lấy được chữ ký từ bộ xác thực của Axie DAO.”
Một tháng sau vụ tấn công, Sky Mavis tăng số lượng nút xác thực của mình lên 11, và trong bài blog tuyên bố mục tiêu dài hạn là vượt quá 100 nút.
Khi được liên hệ, Sky Mavis từ chối bình luận về cách thức xảy ra vụ tấn công. LinkedIn cũng từ chối nhiều lần khi được yêu cầu phản hồi.
Sáng nay, công ty nghiên cứu ESET công bố một cuộc điều tra cho thấy nhóm tin tặc Triều Tiên Lazarus giả danh nhân viên tuyển dụng trên LinkedIn và WhatsApp, nhắm mục tiêu vào các nhà thầu hàng không vũ trụ và quốc phòng. Tuy nhiên báo cáo này không kết nối kỹ thuật này với vụ tấn công Sky Mavis.
Đầu tháng 4 năm nay, Sky Mavis huy động được 150 triệu đô la trong một vòng gọi vốn do Binance dẫn dắt. Số tiền thu được sẽ được dùng cùng với quỹ dự phòng của công ty để bồi thường cho người dùng bị ảnh hưởng bởi lỗ hổng này. Gần đây Axie Infinity cho biết sẽ bắt đầu hoàn trả tiền cho người dùng từ ngày 28 tháng 6. Cầu nối Ethereum của Ronin – từng ngừng hoạt động đột ngột sau vụ hack – cũng đã được khởi động lại vào tuần trước.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News
