作者:Ryan Weeks
这个事件的关键点就是,如果九个验证者中有五个批准,资金就可以转移出去。攻击者设法获得了 5 个验证器的加密私钥,这足以窃取加密资产。
那攻击者是如何获得加密私钥的?现在,关于这个事件,又有了新的爆料。
今年早些时候,黑客诱骗 Axie Infinity 的一名高级工程师申请了一家虚构的公司的工作,最终导致 Axie Infinity 遭受 5.4 亿美元加密货币的损失。以下是The Block 报道的黑客入侵 Axie Infinity 的细节。
很少能有求职经历比 Axie Infinity 高级工程师的遭遇更刺激了。他对加入一家虚构公司的兴趣最终促成了加密行业最大的黑客攻击之一。
去年 11 月,Axie Infinity 游戏内 NFT 的日活跃用户一度达到 270 万,周交易额达到 2.14 亿美元(这两个数字后来都大幅下降)。
而今年 3 月,P2E 链游龙头 Axie Infinity 的以太坊侧链 Ronin 损失了价值 5.4 亿美元的加密货币。虽然美国政府后来将这一事件与朝鲜黑客组织 Lazarus 联系在一起,但有关这次攻击是如何进行的全部细节尚未披露。其实毁掉 Ronin 的仅仅是一个虚假的招聘广告。两名了解此事的人士表示,Axie Infinity 的一名高级工程师被骗申请了一家实际上并不存在的公司的职位。由于事件的敏感性,这两名人士要求匿名。
据知情人士透露,今年早些时候,自称代表这家假冒公司的人通过 LinkedIn 和 WhatsApp 勾搭了 Axie Infinity 开发商 Sky Mavis 的员工,利用新工作机会引诱他。有消息称,在经过多轮面试后,Sky Mavis 的一名工程师获得了一份薪酬极其丰厚的工作。
这个虚假 Offer 是以 PDF 文件的形式发送的,工程师下载了这个文件——这让木马得以渗透到 Ronin 的系统中。从那时起,黑客可以攻击并接管 Ronin 网络上 9 个验证器中的 4 个,只差 1 个验证器无法完全控制。
Sky Mavis 在 4月 27 日发布的一篇博文中对此次黑客攻击进行了分析,文章称:“员工在各种社交渠道上不断受到高级钓鱼网络攻击,其中一名员工遭到了攻击。这名员工已经不在 Sky Mavis 工作了。攻击者成功利用该访问权限渗透 Sky Mavis 的 IT 基础设施,并获得了对验证器节点的访问权限。”
验证器在区块链中可实现各种功能,包括创建交易区块和更新数据预言机。Ronin 使用所谓的“授权证明”(proof of authority)系统来签署交易,将权力集中在 9 个可信任的验证者手中。
但在通过假招聘广告成功渗透到 Ronin 的系统后,黑客只控制了 9 个验证器中的 4 个——这意味着黑客还需要另一个才能控制 Ronin 系统。
在事后分析中,Sky Mavis 透露,黑客成功地使用了 Axie DAO (一个支持游戏生态系统的组织)来完成盗取。Sky Mavis 曾在 2021年 11 月请求 Axie DAO 帮助处理交易负载问题。
“Axie DAO 允许 Sky Mavis 代表其签署各种交易。在 2021 年 12 月暂停,但允许访问列表没有被撤销,”Sky Mavis 在博客文章中说。“一旦攻击者进入 Sky Mavis 系统,他们就能从 Axie DAO 验证器获得签名。”
黑客入侵一个月后,Sky Mavis 将其验证器节点的数量增加到 11 个,并在博客文章中表示,其长期目标是超过 100 个。
被攻击的三个月里,成都链安对链上资金进行进一步的监控,发现Ronin Network攻击者地址已几乎转出100%盗取资金。
而Axie Infinity 也于 6 月 28 日开始向返还用户资金。在被黑客攻击时突然中断的 Ronin 的以太坊桥也于也重新启动了。
不过Axie Infinity本次攻击事件,也给了我们很多启示,成都链安对此类跨链桥项目给出以下建议:
1、注意签名服务器的安全性;
2、签名服务在相关业务下线时,应及时更新策略,关闭对应的服务模块,并且可以考虑弃用对应的签名账户地址;
3、多签验证时,多签服务之间应该逻辑隔离,独立对签名内容进行验证,不能出现部分验证者能够直接请求其它验证者进行签名而不用经过验证的情况;
4、项目方应实时监控项目资金异常情况。