流行的 NFT 市场在鱼叉式网络钓鱼攻击中损失了 5.4 亿美元的加密货币

3 月，一家朝鲜 APT 吸走了 5.4 亿美元的区块链游戏平台 Axie Infinity。

据报道，Axie Infinity 是 300 万游戏内可收藏不可替代代币交易者的热门目的地，在一次以招聘为主题的鱼叉式网络钓鱼攻击中损失了 5.4 亿美元的加密货币。犯罪者被认为是一个与朝鲜有联系的高级持续威胁组织。

该报告来自The Block 出版物，该出版物在3月 23 日表示，黑客控制了与四个验证节点相关联的私钥。根据该报告，这些节点属于 Ronin 网络——Axie 在该网络上运行。第二个节点属于 Axie DAO——一个支持游戏生态系统的去中心化组织。

私钥，类似于密码，是用于区块链密码学的秘密数字。验证器节点是通过验证和处理交易等方式共同维护区块链网络的计算机。

Ronin 由九个验证者支持，因此通过控制五个验证者，攻击者拥有对网络的多数控制权。Axie 和 Ronin 由 Sky Mavis 开发。

“Axie 系统依赖的验证者数量相对较少，”Kudelski Security 创新副总裁 Ryan Spanier 通过电子邮件向 Threatpost 解释道。“这不是公共链的典型做法，尽管我们确实在类似于 Axie 的许可链中看到了这一点，”他说。

问题不仅在于验证者太少，而且这些验证者都集中在一个地方。“验证者在独立组织之间分布不均，”Spanier 继续说道，“这意味着攻击者只需要真正破坏一个组织。本质上，他们有一个去中心化的区块链模型，但容易受到集中式威胁向量的攻击。”

Spanier 说，通过多数控制，攻击者能够有效地给自己写支票。他们总共偷走了 173,600 个以太坊 (ETH) 和 2550 万美元硬币 (USDC)。当时，这增加了大约 5.4 亿美元的价值。

接下来的一个月，美国财政部将攻击背后的以太坊钱包地址与朝鲜的拉撒路集团联系起来。直到本周还不清楚攻击者是如何控制这些验证者的？

恶意的工作机会

3 月 30 日，Ronin Network时事通讯称，“所有证据都表明这次攻击是社会工程，而不是技术缺陷。” 该披露没有进一步详细说明。现在，两名匿名消息人士站出来声称“直接了解此事”，并与 The Block 的记者分享了关于所发生事情的未经证实的内幕消息。

消息人士在今年早些时候告诉 The Block，LinkedIn 上的招聘人员向一些 Sky Mavis 员工提供了工作机会。一位工程师在经过“多轮面试”后，得到了一份“薪酬非常丰厚”的工作。该提议以 PDF 的形式提供，一旦工程师单击打开，就会将间谍软件下载到他的计算机上。据 The Block 称，从那里，攻击者横向进入了 Ronin 的 IT 系统，允许他们窃取那些令人垂涎的验证者私钥。

Cofense 威胁情报总监 Mollie MacDougall 在给 Threatpost 的电子邮件中直言不讳。“区块链平台应该做所有其他组织应该做的事情：实施有效的网络钓鱼防御计划，将技术与人类安全层相结合。”

“想象一下，只有其中一名员工向 Axie 的安全团队报告了这封电子邮件。然后想象一下，该团队可能已经识别、删除并通知了该电子邮件的任何其他收件人。它本可以尽早阻止袭击。”