Axie Infinity была ограблена через фейковый оффер на Linkedin
Всплыли подробности легендарного взлома Axie Infinity. Из отчета следует, что они не только рекордсмены по суммам убытков от хакерских атак, но и еще и чертовски невезучие ребята: вряд ли блокчейн-проект из ТОП-100 CoinMarketCap когда-нибудь взламывали настолько примитивным способом 🤦
Как взломали Axie Infinity?
Один из старших инженеров Sky Mavis (главного разработчика игры от Axie Infinity) получил предложение о новой работе, от которого не смог отказаться. Эта попытка улучшить свою жизнь вылилась в огромные проблемы в виде взлома моста Ronin и кражи из него криптоактивов на сотни миллионов долларов.
Хакеры создали оффер с вакансией в несуществующей компании и разместили его в социальной сети Linkedin. Откликнувшись на него, упомянутый сотрудник попал в расставленную ловушку, скачав зараженный файл и невольно установив на свой компьютер шпионское программное обеспечение.
“Прелюдия” включала в себя несколько раундов собеседования, в которых инженер доказывал свою профессиональную пригодность. Вероятно, это и стало причиной того, что, получив приглашение на должность с чрезвычайно щедрым компенсационным пакетом, он фактически “отключил голову”.
После расследования и раскрытия прецедента, скомпрометированный инженер был уволен из Sky Mavis, и теперь, скорее всего, будет вынужден переквалифицироваться в управдомы – подобный фейл наверняка испортит его послужной список навсегда, даже при всей проявленной деликатной конфиденциальности.
Что произошло с деньгами Axie Infinity
Проблема сайдчейн-моста Ronin, который используется игроками Axie Infinity для взаимодействия с блокчейном Ethereum, заключается в очень небольшом количестве валидаторов (на момент взлома, протокол требовал всего 9). Для подписания транзакций было достаточно согласия 5 узлов из 9.
Таким образом, захватив контроль над относительно небольшим количеством нод, злоумышленники могли получить доступ к полномочиям узлов валидаторов и, тем самым, допустить подтверждение невалидных операций.
Именно так и случилось: мошенники воспользовались похищенными криптографическими ключами и унесли с собой $625 млн, что сделало этот кейс одним из самых крупных в истории децентрализованных финансов.
Принятые меры
Слабым местом (кроме, конечно, человеческого фактора) была признана именно система "доказательство полномочий" (“proof of authority”), которая позволяла узурпировать процесс валидации в одних руках.
Очевидным решением представлялось увеличение количества валидаторов, что снижало бы как риски взломов, так и их последствий. Поэтому уже через месяц после атаки компания Sky Mavis довела количество нод до 11, а долгосрочной целью было объявлено превышение порога в 100 узлов.