黑客盗取 36 亿元：通过一份虚假的招聘广告搞垮了 Ronin 系统

文章摘要

•黑客骗倒了Axie Infinity的一名高级工程师，引诱他向一家子虚乌有的公司申请工作。

•这出骗局导致今年早些时候损失了5.4亿美元（36.2亿人民币）的加密货币。

很少有哪份工作申请带来的结果比Axie Infinity的一位高级工程师更出人意料的了，他有意加入一家后来被证明是子虚乌有的公司，最终导致了加密货币行业最严重的黑客攻击事件之一。

Ronin是与以太坊相关的侧链，在底层支持采用边玩边赚模式的游戏Axie Infinity，它在3月份的一次漏洞事件中损失了价值5.4亿美元的加密货币。

虽然美国政府后来认为这起事件与朝鲜黑客组织Lazarus有关联，但有关如何利用漏洞的全部细节并未披露。

The Block网站现在披露：一份虚假的招聘广告搞垮了Ronin。

据两名直接了解此事的人士称（由于事件很敏感，他们不愿透露姓名），Axie Infinity的一名高级工程师受骗上当，向一家实际上并不存在的公司申请工作。

Axie Infinity是爆款游戏。在鼎盛时期，甚至能够靠这款边玩边赚的游戏谋生。

2021年11月，它声称拥有270万日活跃用户，游戏内NFT的每周交易额高达2.14亿美元，不过这两个数字此后都大幅下降。

据知情人士透露，今年早些时候，声称代表那家虚假公司的人联系了Axie Infinity开发商Sky Mavis的工作人员，鼓励他们申请工作。一位知情人士补充道，对方是通过职业社交网站 LinkedIn找上门来的。

一位知情人士称，经过多轮面试后，Sky Mavis的一名工程师获得了一份薪酬极其丰厚的工作。

这份假冒的“工作机会”以PDF文档的形式来提供，那名工程师下载了该文档，间谍软件因而得以渗入到Ronin的系统。

之后，黑客能够攻击并接管Ronin 网络上的九个验证节点（validator）中的四个，只差一个验证节点没有被完全控制。

Sky Mavis在4月27日发布的关于这起黑客攻击的事后分析博文中称：“员工在诸社交渠道上不断受到高级的鱼叉式网络钓鱼攻击，一名员工不幸中招。这名员工现在不再在Sky Mavis工作。攻击者设法利用其访问权限，渗入到Sky Mavis的IT基础架构，并获得了验证节点的访问权限。”

验证节点在区块链中完成各种功能，包括创建交易块和更新区块链可信数据源（oracle）。Ronin使用所谓的“权威证明”系统来签名交易，将权力集中在九个受信任的验证节点手中。

区块链分析公司Elliptic在4月份就该事件发表的一篇博文中解释：“如果九个验证节点中有五个予以批准，资金就可以转出。攻击者设法获得了属于五个验证节点的私有密钥，这足以窃取加密货币资产。”

但黑客在通过虚假招聘广告成功渗入到Ronin的系统后，只控制了九个验证节点中的四个，这就意味着他们需要控制另一个验证节点才能全面掌控。

Sky Mavis在事后分析报告中透露，这伙黑客设法使用Axie DAO（去中心化自治组织）来完成抢劫，这是一家为支持游戏生态系统而设立的组织。Sky Mavis曾在2021年11月请求该DAO帮助处理繁重的交易负载。

Sky Mavis在博文中声称：“Axie DAO将Sky Mavis列入了许可名单，允许它代表自己签名各种交易。这种许可在2021年12月停止了，但许可名单访问权并未撤销。一旦攻击者访问了Sky Mavis系统，就能够从Axie DAO验证节点获取签名。”

黑客攻击一个月后，Sky Mavis将其验证节点的数量增加到了11个，并在博文中表示，长期目标是拥有100多个验证节点。

今天早些时候，ESET Research发布的调查显示，朝鲜的Lazarus曾滥用LinkedIn和WhatsApp，冒充招聘人员找航空航天和国防承包商下手。但该报告并未将这种手法与Sky Mavis黑客事件联系起来。

Sky Mavis在4月初由币安的一轮融资中筹到了1.5亿美元。这笔钱将与该公司的自有资金一起用于补偿受漏洞事件影响的用户。

该公司最近表示，已在6月28日开始向用户退还资金。Ronin的以太坊跨链桥梁在黑客攻击事件发生后突然关停，上周也已重新开启。

据The Block Research的数据显示，今年DeFi黑客攻击的速度迅速加快，损失的资金总额已超过20亿美元。1月1日，这个数字仅为7.6亿美元。