知名区块链游戏损失6.25亿美元，只因开发者收到“加料”的假 Offer！

整理 | 郑丽媛

出品 | CSDN（ID：CSDNnews）

提起 Axie Infinity 这款区块链游戏，许多人可能感到陌生，但如果说其单日收入可与《王者荣耀》争锋，想必大家就对这款链游的热门程度“有数”了——不过，它的辉煌并没有持续太久。

去年年中开始，主打“边玩边赚”（Play-to-Earn）的 Axie Infinity 可谓是风光无两，其通过游戏赚取加密货币的方式一时之间吸引了诸多玩家，日活用户数更是在 11 月达到峰值。

但紧接着，这款游戏便进入“下滑期”，整体收入和日活用户数量飞速下降，今年 3 月遭遇了 DeFi（Decentralized Finance，即去中心化金融）史上最大的黑客攻击更是“雪上加霜”：3 月 29 日，Axie Infinity 被黑客使用破解的私钥来伪造假提款，造成了约 6.25 亿美元（17.36 万枚以太坊和 2550 万 USDC）的损失。

当时，Axie Infinity 的游戏开发商 Sky Mavis 表示此次攻击是通过网络钓鱼计划实现的，政府方面则认定是由黑客组织 Lazarus 发起的，但二者均未披露有关这起事件的相关细节。

如今三个月过去了，这起黑客攻击事件的源头终于有所眉目：据外媒 The Block 报道，这一切源于一名 Axie Infinity 高级工程师收到了由黑客组织伪装的招聘公司所提供的一份假 Offer。

假 Offer 中夹杂着间谍软件

正如开头所说，Axie Infinity 曾在去年 11 月达到顶峰：拥有 270 万日活跃用户，每周交易量高达 2.14 亿美元。或许是由于此后游戏热度的骤减动摇了 Axie Infinity 背后 Sky Mavis 开发团队的信心，总之黑客趁机向一名 Sky Mavis 高级工程师（以下用 E 代称）抛出了“诱饵”。

今年年初，黑客组织伪装成一所假公司，通过职业社交网站 LinkedIn 向 E 发送招聘广告，邀请 E 来他们的公司工作（实际上，这家公司并不存在）。

毫无察觉的 E 上钩了，经过多轮面试后，E 看似获得了一份薪酬极其丰厚的工作，黑客组织按照正常的招聘流程通过 PDF 向 E 发送了一份 Offer，E 也下载了——然而，这份 Offer 中隐藏着可以入侵到 Ronin 系统的间谍软件。

准确来说，遭到黑客攻击的就是 Sky Mavis 专为 Axie Infinity 设计的以太坊侧链 Ronin。对许多 Axie Infinity 玩家而言，他们通常并不只在一个区块链生态系统中运作，为此 Sky Mavis 开发了跨链桥 Ronin Bridge，允许玩家将以太坊或 USDC 存入 Ronin，用其购买非同质化代币（NFT）或游戏内货币，也可以出售其游戏内的资产并提取资金。

黑客通过发给 E 的假 Offer 入侵了 Ronin 系统，控制了其中 4 个验证器节点。而 Ronin 链由 9 个验证器节点组成，识别存取款事件需要得到其中 5 个节点的签名，于是黑客便设法获取了 Axie DAO 验证器的签名。

Ronin 事后对此的解释为：2021 年 11 月 Sky Mavis 的用户负载巨大，因此请求了 Axie DAO 的帮助，Axie DAO 允许 Sky Mavis 代表其签署各种交易。虽然这项合作于 2021 年 12 月停止，但未撤销许可名单访问权限。

因此，简单概括整个流程就是：黑客通过假 Offer 中的间谍软件控制了 4 个 Ronin 验证器节点后，又利用 RPC 节点的后门获取了 Axie DAO 的签名，由此实现掌控 5 个节点签名，最终实现资产盗窃。

Ronin Bridge 已于 6 月 28 日重新开放

根据 3 月 29 日 Ronin 发布的公告来看，黑客早在 3 月 23 日就两次利用 Ronin Bridge 窃取了 17.36 万枚以太坊，以及价值超 2550 万美元的 USDC。但直到 3 月 29 日有玩家投诉无法从 Ronin 中提取 5000 枚以太坊之后，Ronin 才发现其验证器节点和 Axie DAO 验证器节点已遭到破坏。

在 Sky Mavis 于 4 月 27 日发布的关于黑客攻击的博客文章中，也隐晦提到了攻击源头：“员工不断受到各种社交渠道的网络钓鱼攻击，其中一名员工遭到入侵，目前这名员工已不在 Sky Mavis 工作。攻击者设法利用该员工的访问权限来渗透 Sky Mavis 的 IT 基础设施并获得对验证节点的访问权限。”

因此当时 Sky Mavis 表示，已将其验证节点数增加到 11 个，之后的长期目标是希望能拓展到 100 多个。

截止目前，Ronin Bridge 已于 6 月 28 日起重新开放，意味着 Axie Infinity 玩家可以从他们的游戏账户中存取资金，同时为了防止类似攻击的再次发生，Ronin Bridge 接受了两家知名区块链安全公司 Verichains 和 Certik 的内部审计和检查。此外，Sky Mavis 也表示会补偿受本次事件影响的用户，承诺向其返还丢失的资产。

网友：“完全是员工的错吗？”

对于 The Block 所报道的这场黑客攻击的源头解说，许多网友从不同角度发表了自己的见解。

• 有人指出 LinkedIn 这个平台本身就不安全：

“主要有两点要强调：

（1）LinkedIn 绝对是坏人的极好帮手，它可以轻易地用钓鱼邮件和短信攻击公司里的每个人。我知道许多安全专家在 LinkedIn 都不用他们的真名，也不透露其公司的名称，因为他们知道这是一个很好的黑客载体。

（2）我希望有更多关于 PDF 中漏洞的信息。我想很多人会对从陌生人那里下载 PDF 文件持谨慎态度，但对方如果是一个面试过多次、并给了你一份工作的人，情况可能就不是这样了。”

• 有人认为以太坊的安全性被炒作得过了头：

“正如本文所说的那样，这个系统的安全保证远远弱于以太坊共识协议。但这个系统被那些无视这一基本事实的骗子们炒作到了极点，还对安全性和稳定性提出了荒谬的说法。

基本上来说，以太坊被炒作为‘智能合约’平台。可一旦智能合约做了除基本转账以外的任何事情，它就需要一个‘验证器’。但也就因为“验证器”的存在，安全性才大大降低。在这种显而易见的问题下，这样的恶作剧还会继续发生。”

• 也有人指责 Sky Mavis 将事故问题推到员工身上：

“另一个导致攻击事件的原因难道不是为什么这个开发者拥有 5 个签名密钥吗？这根本不应该发生，因为这样的话这个开发者岂不是也有机会带着 6.25 亿美元逃逸？公司不应该把错误完全赖在员工头上。”

参考链接：

• https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game
• https://news.ycombinator.com/item?id=32001742

— 推荐阅读 —

二十年前，《新程序员》创刊时，我们要全面关注软件人的成长。今天，我们依然初心不变：在一行行代码的背后，是一颗颗鲜活的开发者想要改变世界的雄心壮志。

因此，《新程序员004》从 C++之父 Bjarne Stroustrup、C# 之父 Anders Hejlsberg、MySQL 之父 Michael "Monty" Widenius、PostgreSQL 全球开发组联合创始人 Bruce Momjian 等程序员祖师爷，到阿里巴巴副总裁贾扬清、指令集创始人兼董事长潘爱民、Vue.js 作者尤雨溪……48 位技术大咖，共创我们的程序人生、我们的技术时代。《新程序员004》已全面上市，欢迎订阅！