一つの偽のオファーがどのようにしてAxie Infinityの5.4億ドルを盗んだのか？

出典：The Block

原著者：Ryan Weeks

翻訳：Katie 辜，Odaily 星球日报

今年初め、ハッカーはAxie Infinityの上級エンジニアを騙して架空の会社の仕事に応募させ、最終的にAxie Infinityは5.4億ドルの暗号通貨の損失を被りました。以下はThe Blockが報じたAxie Infinityへのハッキングの詳細です。

Axie Infinityの上級エンジニアの経験ほど刺激的な求職体験はほとんどありません。彼が架空の会社に参加することに興味を持ったことが、暗号業界で最大のハッキング攻撃の一つを引き起こしました。

昨年11月、Axie Infinityのゲーム内NFTのデイリーアクティブユーザーは一時270万人に達し、週の取引額は2.14億ドルに達しました（この2つの数字はその後大幅に減少しました）。

そして今年3月、P2EチェーンゲームのリーダーAxie InfinityのイーサリアムサイドチェーンRoninは、5.4億ドル相当の暗号通貨を失いました。アメリカ政府は後にこの事件を北朝鮮のハッカー集団Lazarusと関連付けましたが、この攻撃がどのように行われたかの詳細はまだ公開されていません。実際、Roninを破壊したのは単なる虚偽の求人広告でした。事情を知る2人の関係者によると、Axie Infinityの上級エンジニアが実際には存在しない会社の職に応募するよう騙されたとのことです。事件の敏感性から、2人は匿名を希望しました。

関係者によると、今年初め、自称その偽の会社を代表する人物がLinkedInとWhatsAppを通じてAxie Infinityの開発者Sky Mavisの従業員に接触し、新しい仕事の機会を利用して彼を誘惑しました。報道によれば、複数回の面接を経て、Sky Mavisのエンジニアが非常に高額な給与の仕事を得たとのことです。

この虚偽のオファーはPDFファイルの形式で送信され、エンジニアはそのファイルをダウンロードしました------これによりマルウェアがRoninのシステムに侵入しました。それ以来、ハッカーはRoninネットワーク上の9つのバリデーターのうち4つを攻撃し、完全に制御するためにはもう1つのバリデーターが必要でした。

Sky Mavisは4月27日に発表したブログ記事でこのハッキング攻撃を分析し、次のように述べています："従業員はさまざまなソーシャルチャネルで高度なフィッシングネットワーク攻撃を受け続け、そのうちの1人が攻撃を受けました。この従業員はすでにSky Mavisにはいません。攻撃者はそのアクセス権を利用してSky MavisのITインフラに侵入し、バリデーターノードへのアクセスを得ました。"

バリデーターはブロックチェーン内でさまざまな機能を実現し、取引ブロックの作成やデータオラクルの更新を行います。Roninは「権限証明」（proof of authority）システムを使用して取引に署名し、9つの信頼できるバリデーターに権力を集中させています。

ブロックチェーン分析会社Ellipticは今年4月のブログ記事で次のように説明しています："9つのバリデーターのうち5つが承認すれば、資金は移転できます。攻撃者は5つのバリデーターのプライベート暗号鍵を取得し、暗号資産を盗むのに十分でした。"

しかし、偽の求人広告を通じてRoninのシステムに成功裏に侵入した後、ハッカーは9つのバリデーターのうち4つしか制御しておらず------これはハッカーがRoninシステムを制御するためにもう1つが必要であることを意味します。

事後分析で、Sky MavisはハッカーがAxie DAO（ゲームエコシステムを支える組織）を利用して盗みを完了したことを明らかにしました。Sky Mavisは2021年11月にAxie DAOに取引負荷の問題を処理するための支援を求めていました。

"Axie DAOはSky Mavisがその名の下にさまざまな取引に署名することを許可しました。2021年12月に一時停止されましたが、アクセスリストは撤回されませんでした。"とSky Mavisはブログ記事で述べています。"一旦攻撃者がSky Mavisのシステムに侵入すると、Axie DAOのバリデーターから署名を得ることができます。"

ハッキングから1ヶ月後、Sky Mavisはそのバリデーターノードの数を11に増やし、ブログ記事でその長期目標は100を超えることだと述べました。

記者がSky Mavisに連絡したところ、同社はこのハッキング攻撃がどのように行われたかについてコメントを拒否しました。LinkedInも何度もコメントを拒否しました。

今日の早い段階で、ESET研究会社は調査を発表し、北朝鮮のハッカー集団LazarusがLinkedInとWhatsAppを使って偽のリクルーターを装い、航空宇宙および防衛請負業者をターゲットにしていることを示しました。しかし、その報告はこの技術をSky Mavisのハッキングと関連付けていません。

今年4月初め、Sky MavisはBinanceが主導する資金調達ラウンドで1.5億ドルを調達しました。得られた資金は、同社の予備資金と共に、この脆弱性の影響を受けたユーザーへの補償に使用されます。Axie Infinityは最近、6月28日からユーザーへの資金返還を開始すると発表しました。ハッキング攻撃によって突然中断されたRoninのイーサリアムブリッジも先週再起動されました。

The Block Researchのデータによると、今年はDeFiのハッキング事件が頻発し、損失額は20億ドルを超えました。1月1日にはこの数字は76億ドルでした。