黑客通过虚假招聘网络钓鱼窃取了5.4亿美元加密货币

今年3月，有黑客从区块链游戏Axie Infinity的Ronin网桥上窃取了价值约5.4亿美元的173600个以太币和2550万USDC。据悉，此盗窃案的源头是Axie Infinity的一名高级工程师遭到了网络钓鱼攻击。

据知情人士透露，Axie Infinity开发商Sky Mavis的一名工程师在知名招聘网站领英LinkedIn上寻找工作时，一家公司给他发送了面试邀请，在多轮面试后，该工程师被以一份非常优渥的薪酬待遇录用。

但事实上，该公司并不真实存在，而是黑客伪造的。当该名工程师下载并打开虚假“录用通知”后，恶意软件便渗透到了Ronin的系统，从而使得黑客能够攻击并接管Ronin网络上九个验证器中的四个。

验证器在区块链中可实现各种功能，Ronin使用一种 “权威证明”系统来签署交易。区块链分析公司Elliptic在四月份的一篇关于此事件的博客中解释说：“如果九个验证器中有五个批准，资金就可以转移出去。攻击者设法掌握了五个验证器的私钥，这足以窃取加密资产。”

Ronin Network官方确信这是一次外部违规行为，声称所有证据都表明，这次攻击是社会工程导致的，而不是技术缺陷。Ronin Network在事后分析公告上写道：

Sky Mavis员工在各种社交渠道上不断受到高级鱼叉式网络钓鱼攻击，有一名员工遭到了入侵。这名员工已不再在Sky Mavis工作。攻击者设法利用该访问权限渗透Sky Mavis IT基础设施并获得了对验证器节点的访问权限。

长期以来，虚假的工作机会一直是恶意软件团伙的社会工程学诱饵之一，大家也要多加小心。

资讯来源：roninblockchain

转载请注明出处和本文链接

每日涨知识

风险控制

指风险管理者采取各种措施和方法，消灭或减少风险事件发生的各种可能性，或风险控制者减少风险事件发生时造成的损失。