ข้อเสนอปลอมขโมยเงิน 540 ล้านดอลลาร์จาก "Axie Infinity" ได้อย่างไร

บทความนี้มาจาก The Blockบทความนี้มาจาก

ผู้เขียนต้นฉบับ: Ryan Weeks เรียบเรียงโดย Katie Koo นักแปล Odaily

เมื่อต้นปีที่ผ่านมา แฮ็กเกอร์ได้หลอกวิศวกรอาวุโสของ Axie Infinity ให้สมัครงานกับบริษัทที่สมมติขึ้น ซึ่งท้ายที่สุดแล้วทำให้ Axie Infinity เสียเงิน 540 ล้านดอลลาร์ในสกุลเงินดิจิทัล นี่คือรายละเอียดของการแฮ็ก Axie Infinity ที่รายงานโดย The Block

ประสบการณ์การหางานเพียงไม่กี่ครั้งเท่านั้นที่กระตุ้นอารมณ์ได้มากกว่าประสบการณ์ของ Axie Infinity Senior Engineer ความสนใจของเขาในการเข้าร่วมบริษัทสมมุตินำไปสู่การแฮ็กครั้งใหญ่ที่สุดในอุตสาหกรรมคริปโต

ในเดือนพฤศจิกายนปีที่แล้ว NFT ในเกมของ Axie Infinity มีผู้ใช้งาน 2.7 ล้านคนต่อวันและ 214 ล้านเหรียญสหรัฐในการทำธุรกรรมรายสัปดาห์ (ตัวเลขทั้งสองลดลงอย่างมาก)

ในเดือนมีนาคมของปีนี้ Ronin ซึ่งเป็นเชนด้าน Ethereum ของ Axie Infinity ซึ่งเป็นเกมลูกโซ่ P2E ชั้นนำ สูญเสียเงินดิจิทัลมูลค่า 540 ล้านดอลลาร์ แม้ว่าภายหลังรัฐบาลสหรัฐฯ จะเชื่อมโยงเหตุการณ์ดังกล่าวกับกลุ่มแฮ็กเกอร์ชาวเกาหลีเหนือ Lazarus แต่รายละเอียดทั้งหมดเกี่ยวกับวิธีดำเนินการโจมตียังไม่ได้รับการเปิดเผย ความจริงแล้วสิ่งที่ทำให้ Ronin พังทลายก็คือโฆษณารับสมัครงานปลอมๆ วิศวกรอาวุโสของ Axie Infinity ถูกหลอกให้สมัครงานในบริษัทที่ไม่มีอยู่จริง คนสองคนที่มีความรู้ในเรื่องนี้กล่าว ทั้งสองคนพูดโดยไม่เปิดเผยชื่อเนื่องจากความละเอียดอ่อนของเรื่องนี้

เมื่อต้นปีที่ผ่านมา ผู้คนที่อ้างตัวว่าเป็นตัวแทนของบริษัทปลอมได้ติดต่อกับพนักงานของ Sky Mavis ผู้พัฒนา Axie Infinity ผ่านทาง LinkedIn และ WhatsApp ล่อลวงเขาด้วยข้อเสนองานใหม่ ตามที่ผู้คนคุ้นเคยกับเรื่องนี้ หลังจากสัมภาษณ์หลายรอบ วิศวกรของ Sky Mavis ก็ได้งานที่ให้ผลตอบแทนดีมาก แหล่งข่าวกล่าว

ข้อเสนอปลอมถูกส่งเป็นไฟล์ PDF ซึ่งวิศวกรดาวน์โหลด — ทำให้โทรจันสามารถแทรกซึมเข้าไปในระบบของโรนินได้ ตั้งแต่นั้นเป็นต้นมา แฮ็กเกอร์สามารถโจมตีและเข้าควบคุม Validator ได้ 4 จาก 9 ตัวบนเครือข่าย Ronin ทำให้มี Validator เพียง 1 ตัวที่ไม่สามารถควบคุมได้ทั้งหมด

Sky Mavis วิเคราะห์การแฮ็กในบล็อกโพสต์ที่เผยแพร่เมื่อวันที่ 27 เมษายน โดยกล่าวว่า “พนักงานถูกโจมตีด้วยฟิชชิ่งขั้นสูงในช่องทางโซเชียลต่างๆ และพนักงาน 1 คนถูกบุกรุก พนักงานคนดังกล่าวไม่ได้ทำงานที่ Sky Mavis อีกต่อไป ผู้โจมตีใช้ประโยชน์จากสิ่งนี้ได้สำเร็จ เข้าถึงเพื่อแทรกซึมโครงสร้างพื้นฐานด้านไอทีของ Sky Mavis และเข้าถึงโหนดตัวตรวจสอบความถูกต้อง"

Validator ทำหน้าที่ต่างๆ ใน ​​blockchain รวมถึงการสร้าง block ของธุรกรรมและการอัปเดต data oracles Ronin ใช้สิ่งที่เรียกว่าระบบ "หลักฐานการมอบอำนาจ" เพื่อลงนามในธุรกรรม โดยรวมศูนย์อำนาจไว้ในมือของผู้ตรวจสอบความถูกต้องที่เชื่อถือได้เก้าคน

“หากผู้ตรวจสอบความถูกต้อง 5 ใน 9 คนอนุมัติ ก็สามารถโอนเงินได้” บริษัทวิเคราะห์บล็อกเชน Elliptic อธิบายในบล็อกโพสต์เมื่อเดือนเมษายน ผู้โจมตีจัดการเพื่อรับคีย์เข้ารหัสส่วนตัวของผู้ตรวจสอบความถูกต้องทั้ง 5 คน ซึ่งเพียงพอที่จะขโมยสินทรัพย์ดิจิทัล ”

แต่หลังจากประสบความสำเร็จในการแทรกซึมระบบของโรนินผ่านโฆษณารับสมัครงานปลอม แฮ็กเกอร์เข้าควบคุมผู้ตรวจสอบเพียง 4 คนจากทั้งหมด 9 คน ซึ่งหมายความว่าแฮ็กเกอร์ต้องการอีกคนหนึ่งเพื่อควบคุมระบบโรนิน

ในการวิเคราะห์หลังชันสูตร Sky Mavis เปิดเผยว่าแฮ็กเกอร์ประสบความสำเร็จในการใช้ Axie DAO ซึ่งเป็นองค์กรที่สนับสนุนระบบนิเวศของเกมเพื่อทำการโจรกรรม Sky Mavis ได้ขอให้ Axie DAO ในเดือนพฤศจิกายน 2021 เพื่อช่วยแก้ไขปัญหาการโหลดธุรกรรม

"Axie DAO อนุญาตให้ Sky Mavis ลงนามในธุรกรรมต่างๆ ในนามของตน โดยระงับในเดือนธันวาคม 2021 แต่รายการการเข้าถึงที่อนุญาตยังไม่ถูกเพิกถอน" Sky Mavis กล่าวในบล็อกโพสต์ "เมื่อผู้โจมตีเข้าถึงระบบ Sky Mavis ได้ พวกเขาสามารถรับลายเซ็นจากตัวตรวจสอบความถูกต้องของ Axie DAO"

หนึ่งเดือนหลังจากการแฮ็ก Sky Mavis ได้เพิ่มจำนวนโหนดเครื่องมือตรวจสอบความถูกต้องเป็น 11 รายการ และระบุในบล็อกโพสต์ว่าเป้าหมายระยะยาวคือเกิน 100 รายการ

เมื่อได้รับการติดต่อ Sky Mavis ปฏิเสธที่จะแสดงความคิดเห็นเกี่ยวกับวิธีการแฮ็ค LinkedIn ปฏิเสธที่จะแสดงความคิดเห็นซ้ำแล้วซ้ำอีก

ก่อนหน้านี้ ESET Research ได้เผยแพร่การสืบสวนที่แสดงให้เห็นว่า Lazarus กลุ่มแฮ็คชาวเกาหลีเหนือใช้ LinkedIn และ WhatsApp ปลอมตัวเป็นนายหน้าเพื่อกำหนดเป้าหมายผู้รับเหมาด้านการบินและอวกาศและการป้องกันประเทศ แต่รายงานไม่ได้เชื่อมโยงเทคโนโลยีเข้ากับการแฮ็คของ Sky Mavis

ในช่วงต้นเดือนเมษายน Sky Mavis ระดมทุนได้ 150 ล้านดอลลาร์ในรอบการระดมทุนที่นำโดย Binance รายได้จะถูกนำไปใช้พร้อมกับเงินสำรองของบริษัทเพื่อชดเชยผู้ใช้ที่ได้รับผลกระทบจากบั๊ก Axie Infinity เพิ่งระบุว่าจะเริ่มคืนเงินผู้ใช้ให้กับผู้ใช้ในวันที่ 28 มิถุนายน สะพาน Ethereum ของ Ronin ซึ่งถูกขัดจังหวะทันทีเมื่อถูกแฮ็ก ก็เริ่มต้นใหม่เมื่อสัปดาห์ที่แล้วเช่นกัน