Axie Infinity是去年加密游戏的典型例子,去年 11 月,它的“即玩即赚”公式帮助其达到了高达 270 万的每日活跃用户。但这一切都在 3 月份崩溃了,当时黑客从与以太坊相关的 Ronin 侧链窃取了 6.25 亿美元,为游戏提供动力。现在,事实证明,该黑客的来源来自一个不太可能的来源:LinkedIn 的虚假工作机会。
正如The Block根据两个消息来源(通过The Verge )报道的那样,黑客通过向一名员工发送充满间谍软件的 PDF 渗透到Axie Infinity所有者 Sky Mavin 的网络。那个人以为他们正在接受另一家公司的高薪工作,但事实证明这家公司从未存在过。据美国政府称, 朝鲜黑客组织 Lazarus是这次袭击的幕后黑手。
“员工在各种社交渠道上不断受到高级鱼叉式网络钓鱼攻击,一名员工遭到入侵,”Sky Mavis 在黑客攻击后的一篇事后博客文章中指出。“这名员工不再在 Sky Mavis 工作。攻击者设法利用该访问权限来渗透 Sky Mavis IT 基础设施并获得对验证节点的访问权限。”
Axie Infinity 上周重新启动,它仍然依赖于 Ronin 侧链,尽管采取了更严格的安全措施。该公司在 4 月份将其验证节点从之前的 9 个增加到 11 个,这使得攻击者更难控制网络。 (Lazarus 获得了 5 个节点的访问权限以实现其黑客攻击,其中一个来自 Axie DAO [去中心化自治组织]。)它还实施了一个“断路器”系统来标记大量提款。
虽然这次黑客攻击显然是经过精心计划的,并且需要大量的技术技能,但它最终还是依赖于一个经典的漏洞:社会工程。
原文: https://www.engadget.com/axie-infinity-blockchain-hack-fake-job-offer-210017305.html?src=rss