Axie Infinity’de kıdemli bir mühendis, sahte bir şirkette bir iş teklifine kapıldıktan sonra Ronin zincirine 625 milyon dolarlık hack’lemenin giriş noktasıydı.
Şimdiye kadar olay, Amerika Birleşik Devletleri hükümeti tarafından Kuzey Koreli bilgisayar korsanlığı grubu Lazarus ile bağlantılıydı, ancak saldırının nasıl gerçekleştirildiği hakkında çok fazla ayrıntı verilmedi, medyanın doğrudan bilgisi olan iki kişi sayesinde bildirebileceği bir şey. meselenin.
Sahte bir iş teklifi saldırıyı tetikledi
Yılın başlarında, sahte şirketi “temsil eden” bir grup insan, Axie Infinity geliştiricisi Sky Mavis’in personeline başvurarak onları iş başvurusunda bulunmaya teşvik etti. LinkedIn aracılığıyla.
Birkaç tur görüşmeden sonra, söz konusu mühendise “son derece cömert” bir ücret karşılığında bir iş teklif edildi. Sahte teklif, mühendisin indirdiği ve virüsün Ronin’in sistemlerine sızmasına izin veren casus yazılım içeren bir PDF belgesi aracılığıyla kendisine ifşa edildi.
Bundan sonra, bilgisayar korsanları, işlemleri onaylayan dokuz Ronin ağ doğrulayıcısından dördüne saldırabildi ve kontrolünü ele geçirdi, ancak hala hamle yapmak için yetersiz kaldılar. Bu, Sky Mavis’in kendisi tarafından detaylandırılmıştır. Blogo sırada doğrulayıcı eşiğinin işlemler için mevcut olan dokuzdan beşi olduğunu belirterek
Bununla birlikte, bu gereklilik, bu dört doğrulayıcı üzerinde kontrolü ele geçirmenin yanı sıra, Sky Mavis tarafından anlaşmaya yardım etmesi için istenen oyun ekosistemini desteklemek için oluşturulan bir grup olan Axie DAO’dan sonunda elde ettikleri ek bir doğrulamaya ihtiyaçları olduğu anlamına geliyordu. Kasım 2021’deki yoğun işlem yükü ile.
Bu, Axie DAO’nun Sky Mavis adına işlem imzalamasına izin verilen doğrulayıcılar olarak listelendiği ve Aralık 2021’de yetkilendirmenin askıya alınmasına rağmen listeye erişimin iptal edilmediği anlamına geliyordu, bu nedenle şirketin sistemlerine erişim kazandıktan sonra, aynı zamanda ek doğrulayıcıya erişim.
Riski azaltmak için artan güvenlik
Sky Mavis, o sırada çalışanlarının sürekli “altında” olduğunu kaydetti.gelişmiş kimlik avı saldırıları” çeşitli sosyal kanallarda ve bunlardan birinin ele geçirildiğini.
Ayrıca, çalışanın artık şirket içinde çalışmadığını ve saldırganların Sky Mavis BT altyapısına girmek için erişimden yararlanarak doğrulama düğümlerine erişim kazandığını da detaylandırdılar.
Göre Bloksaldırıdan sadece bir ay sonra şirket, doğrulama düğümlerinin sayısını 11’e çıkarmıştı ve uzun vadeli hedefi 100’ün üzerine çıkmaktı.
Öte yandan uzmanlar, Lazarus’un LinkedIn ve WhatsApp kullandığını, işe alım görevlisi gibi davrandığını ve havacılık ve savunma müteahhitlerini hedef aldığını belirten bir araştırma yayınladı, ancak raporda bu yöntemin Sky Mavis’te kullanıldığı belirtilmedi.
Siber güvenlik ve kötü amaçlı yazılım araştırmacısıdır. Bilgisayar Bilimi okudu ve 2006 yılında siber güvenlik analisti olarak çalışmaya başladı. Aktif olarak siber güvenlik araştırmacısı olarak çalışıyor. Ayrıca farklı güvenlik şirketlerinde çalıştı. Günlük işi, yeni siber güvenlik olayları hakkında araştırma yapmayı içerir. Ayrıca kurumsal güvenlik uygulaması konusunda derin bir bilgi düzeyine sahiptir.