Последнее сообщение о взломе моста Axie Infinity/ Ronin слишком хорошо, чтобы быть правдой. Особенно если учесть, что ФБР утверждает, что за взлом ответственна хакерская группа, спонсируемая Северной Кореей. "Старший инженер Axie Infinity был обманом вынужден подать заявление о приеме на работу в компанию, которой на самом деле не существовало", - сообщает The Block. Это еще не все, по всей видимости, шпионская программа хакеров попала в систему через простой файл .pdf. Невероятно, что взлом компании стоимостью 622 миллиона долларов начался именно так. 

Сеть Ronin Network - это сайдчейн Ethereum, который обслуживает исключительно Axie Infinity. Будучи одновременно миллиардным бизнесом и забавным приложением с процветающей внутренней экономикой и международной аудиторией, игра "играй-зарабатывай" стала одной из самых больших историй успеха на бычьем рынке. Sky Mavis - это студия, стоящая за Axie Infinity. И один из ее программистов, по всей видимости, стал жертвой простейшего приема социальной инженерии.

По данным компании Chainalysis, спонсируемые Северной Кореей хакеры украли более 400 млн долларов только в 2021 году. По данным ФБР, они несут ответственность за взлом Axie Infinity/ Ronin. Агентство по алфавиту отследило средства до кошельков, связанных с северокорейской хакерской группой Lazarus. Статья The Block дополняет или опровергает эту версию истории? Трудно представить, что северокорейцы могут провернуть подобный трюк.

В любом случае, в то время ФБР было предельно ясно выражено в цитируемом здесь заявлении: 

"В ходе нашего расследования мы смогли подтвердить, что Lazarus Group и APT38, кибер-актеры, связанные с КНДР, несут ответственность за кражу 620 миллионов долларов в Ethereum, о которой сообщалось 29 марта".

Если это правда, то они побили свой рекорд 2021 года, проведя всего одну операцию.  

Как произошел взлом Axie Infinity/ Ronin?

Предполагаемая история хакера, по меньшей мере, смешна. По данным The Block: 

"В начале этого года к сотрудникам компании Axie Infinity, разработчика Sky Mavis, обратились люди, якобы представляющие поддельную компанию, и предложили им подать заявление о приеме на работу, по словам людей, знакомых с делом."

После нескольких раундов собеседований один из разработчиков Sky Mavis получил чрезвычайно щедрое предложение. Он открыл ящик Пандоры, и начался настоящий ад.

"Поддельное "предложение" было доставлено в виде PDF-документа, который инженер скачал, что позволило шпионскому ПО проникнуть в системы Ronin. Оттуда хакеры смогли атаковать и захватить четыре из девяти валидаторов в сети Ronin - им не хватило всего одного валидатора для полного контроля".

Чтобы завершить атаку, они взяли под контроль другую сущность. Когда-то давно "Axie DAO разрешила компании Sky Mavis подписывать различные транзакции от ее имени". Разрешения все еще действовали, и хакеры воспользовались ими. Операторы моста Ronin в своем отчете об атаке описывают последствия.

"Злоумышленнику удалось получить контроль над пятью из девяти приватных ключей валидаторов - 4 валидатора Sky Mavis и 1 Axie DAO - для того, чтобы подделать фальшивые снятия средств. В результате 173 600 Ethereum и 25,5 млн USDC были слиты с моста Ronin за две транзакции".

Неужели операторы Лазаря организовали такое голливудское нападение? Или комедийный modus operandi подразумевает других исполнителей?

 График цены AXS на FTX | Источник: AXS/USD на TradingView.com
График цены AXS на FTX | Источник: AXS/USD на TradingView.com

Предыдущий репортаж о взломе Ronin

Давайте обратимся к архивным материалам, чтобы дополнить историю и добавить дополнительные детали. Когда произошло нарушение, NewsBTC описал его следующим образом: 

"23 марта киберпреступники использовали сеть The Ronin Bridge Network, и хакеры похитили активы на сумму более 625 миллионов долларов США. Активы состоят из 25,5 миллионов USDC и более 173 600 эфиров. Эти данные были опубликованы в их блоге".

Затем мы сообщили о первом решении проблемы Axie Infinity и Sky Mavis:

"Последний объявленный шаг - это программа "bug bounty" стоимостью 1 миллион долларов, которая приглашает хакеров в белых шляпах для стресс-тестирования блокчейна.

Соучредитель и главный операционный директор компании Sky Мэвис и Экси объявили: "Призываем всех белых хат в блокчейн-пространстве. Программа Sky Mavis Bug Bounty уже здесь. Помогите нам обеспечить безопасность сети Ronin Network, получая баунти до $1 000 000 за фатальные ошибки".

А затем, когда операторы вновь открыли новый и улучшенный мост Ronin, наш родственный сайт Bitcoinist рассмотрел его характеристики:

"В дополнение к двум независимым аудитам смарт-контрактов, в новом дизайне Ronin Bridge была реализована новая функция "выключателя". Она была добавлена непосредственно для того, чтобы помешать плохому игроку воспроизвести предыдущую атаку или использовать любой потенциальный новый вектор атаки".

Итак, на данный момент мост Ronin кажется безопасным для использования. Впрочем, он был безопасен и до взлома.

Featured Image by Niek Verlaan from Pixabay | Charts by TradingView

Источник