红极一时的 P2E (边玩边赚) 链游 Axie Infinity,在今年三月发生其侧链 Ronin 跨链桥骇客事件,由于攻击者控制了九个 Ronin 验证节点私钥中的五个,导致 173,600 个以太币和 2550 万美元丢失。Axie Infinity 甚至在近一周才发现此事,并称没有追踪系统监测大量资金外流。今年六月底,Ronin 总算恢复官方跨链桥提币,补偿所有用户损失,并且加入可疑提款防范机制。
私钥泄露的原因?
至于私钥泄露的原因究竟为何?美国政府调查是将其归咎至北韩骇客组织 Lazarus,但未披露攻击细节 ; 媒体 The Block 近期获爆料讲述可能攻击路径:
据两名知情人士称,Axie Infinity 开发商 Sky Mavis 的一名高阶工程师,遭骗在 LinkedIn 面试了一间根本不存在的公司,因为下载了虚假职缺的应聘 PDF 文件后,让间谍软体入侵了 Ronin 的系统。
(补充阅读:PDF网路钓鱼攻击解释,专骗创作者、专案方及 KOL)
Sky Mavis 在事后检讨文件中也有提及:多位员工在不同的社交平台上遭受高端的鱼叉式网路钓鱼攻击 (spear phishing),而有一位员工成功受到攻击。该名员工已离职。但骇客因此有机会能够进而侵入 Sky Mavis 的基础设施,并取得验证节点的掌控权。
The Block 报导,由于控制验证机制至少需要五个验证节点,而上述的征才钓鱼只让骇客掌握四个。剩下一个则是透过支持游戏生态的去中心化自治组织 Axie DAO 来完成。Sky Mavis 曾在 2021 年 11 月委托 Axie DAO 处理繁重的交易负载,因此 Axie DAO 可代表 Sky Mavis 签署多样交易,尽管只有一个月的时间就不再继续,但 Axie DAO 仍在许可名单中并未撤回。因此在骇客入侵 Sky Mavis 系统后,又拿到了 Axie DAO 验证节点的签名。
Lazarus 同样手法仍在横行
ESET Research 发布研究显示,北韩骇客组织 Lazarus 透过 LinkedIn 假冒招聘人员,并用 WhatsApp、Slack 建立联系,接近世界各地的国防领域相关的员工,建立信任后再发送恶意组件,进行间谍活动与窃取资金。该报告中也提到 Axie Infinity 的攻击事件,但未直接提及攻击手法是否相同。分析公司 Elliptic 先前曾针对 Axie Infinity 攻击后的洗钱模式推定,与 Lazarus 惯用手法相同。