Axie Infinity пограбували, використовуючи фейковий оффер на Linkedin
Випливли подробиці легендарного злому Axie Infinity. Згідно зі звітом, вони не тільки рекордсмени за сумами збитків від хакерських атак, але ще й збіса невдачливі: навряд чи блокчейн-проект з ТОП-100 CoinMarketCap коли-небудь зламували настільки примітивним способом?
Як зламали Axie Infinity?
Один зі старших інженерів Sky Mavis (головного розробника гри від Axie Infinity) отримав пропозицію про нову роботу, від якої не зміг відмовитися. Ця спроба покращити своє життя вилилася у величезні проблеми у вигляді злому мосту Ronin та крадіжки з нього криптоактивів на сотні мільйонів доларів.
Хакери створили оффер з вакансією в неіснуючій компанії та розмістили його у соціальній мережі Linkedin. Відгукнувшись на нього, згаданий співробітник потрапив у розставлену пастку, завантаживши заражений файл і мимоволі встановивши на свій комп’ютер шпигунські програмні засоби.
«Прелюдія» включала кілька раундів співбесіди, в яких інженер доводив свою професійну придатність. Ймовірно, це і стало причиною того, що, отримавши запрошення на посаду з надзвичайно щедрим компенсаційним пакетом, він фактично «відключив голову».
Після розслідування і розкриття прецеденту, скомпрометований інженер був звільнений зі Sky Mavis, і тепер, швидше за все, буде змушений перекваліфікуватися у кербуда – подібний фейл напевно зіпсує його послужний список назавжди, навіть зважаючи на всю делікатну конфіденційність.
Що сталося з грошима Axie Infinity
Проблема сайдчейн-мосту Ronin, який використовується гравцями Axie Infinity для взаємодії з блокчейном Ethereum, полягає у дуже невеликій кількості валідаторів (на момент злому протокол вимагав всього 9). Для підписання транзакцій було достатньо згоди 5 вузлів із 9.
Таким чином, захопивши контроль над відносно невеликою кількістю нод, зловмисники могли отримати доступ до повноважень вузлів валідаторів і таким способом допустити підтвердження невалідних операцій.
Саме так і сталося: шахраї скористалися викраденими криптографічними ключами і забрали з собою $625 млн, що зробило цей кейс одним із найбільших в історії децентралізованих фінансів.
Вжиті заходи
Слабким місцем (крім, звичайно, людського фактору) було визнано саме систему «доказ повноважень» («proof of authority»), яка дозволяла узурпувати процес валідації в одних руках.
Очевидним рішенням було збільшення кількості валідаторів, що знижувало б як ризики зломів, так і їх наслідків. Тому вже через місяць після атаки компанія Sky Mavis довела кількість нод до 11, а довгостроковою метою було оголошено перевищення порогу у 100 вузлів.