Hành trình khám phá vùng đất di sản cùng Ford Territory - Phần 1
Tại sao 1 bức thư mời nhận việc lại có thể đánh sập tựa game crypto hàng đầu thế giới?
Hiếm có ai đi xin việc mà lại gây ra hậu quả nghiêm trọng như trường hợp của một cựu kỹ sư tại Axie Infinity, người tưởng như đã tìm được bến đỗ mới của sự nghiệp nhưng hóa ra chỉ là một công ty hư cấu, để rồi dẫn đến một trong những vụ hack lớn nhất lịch sử ngành crypto.
Nếu bạn chưa biết thì vào tháng 3 vừa qua, Ronin, sidechain của Ethereum được thiết kế để xử lý các giao dịch trong tựa game play-to-earn Axie Infinity, đã bị kẻ gian cuỗm mất 540 triệu USD. Dù chính phủ Mỹ khẳng định sự việc này có liên quan đến nhóm hacker Lazarus của Triều Tiên, thông tin chi tiết về phương thức tiến hành vụ hack vẫn còn là bí ẩn.
Và mới đây, trang tin The Block đã điều tra ra được nguyên nhân khiến Ronin bị can thiệp: một bức thư mời nhận việc giả mạo.
Theo hai cá nhân biết việc, những người đề nghị được giữ kín tên tuổi do bản chất nhạy cảm của vụ việc, thì một cựu kỹ sư tại Axie Infinity đã bị lừa nộp đơn xin việc vào một công ty mà trên thực tế hoàn toàn không tồn tại.
Axie Infinity là một tên tuổi lớn trong ngành crypto. Ở thời kỳ đỉnh cao, tựa game play-to-earn này đã giúp vô số người lao động ở khu vực Đông Nam Á kiếm đủ tiền sống sung túc. Tính đến tháng 11 năm ngoái, nó đã có 2,7 triệu người chơi thường xuyên và đạt khối lượng giao dịch NFT trong game lên đến 214 triệu USD mỗi tuần - dù rằng con số này hiện đang ngày một lao dốc.
Hồi đầu năm nay, các nhân viên tại Sky Mavis - công ty phát triển Axie Infinity - đã được một số người tiếp cận và giới thiệu về một công ty giả mạo, đồng thời khuyến khích họ nhanh chóng nộp đơn xin việc. Có thông tin cho biết quá trình tiếp cận này diễn ra thông qua mạng lưới tìm việc hàng đầu thế giới LinkedIn.
Sau nhiều vòng phỏng vấn, một kỹ sư của Sky Mavis đã được đề nghị một vị trí với lương thưởng cực kỳ hấp dẫn. Bức thư mời nhận việc được gửi đến anh dưới dạng tài liệu PDF bị chèn mã độc, mà khi mở ra sẽ cho phép spyware xâm nhập vào hệ thống Ronin. Từ đó, các hacker có thể tấn công và kiểm soát 4 trong số 9 validator trên mạng lưới Ronin - chỉ để lại cho công ty đúng 1 validator mà thôi (4 validator còn lại thuộc về các bên thứ ba).
Đội ngũ phát triển của Sky Mavis, công ty đứng sau Axie Infinity
Trong một bài blog đăng tải sau vụ tấn công, vào ngày 27/4, Sky Mavis cho biết: “Các nhân viên đã liên tục bị tấn công spear-phishing trên nhiều kênh xã hội và một người đã cắn câu. Nhân viên này không còn làm ở Sky Mavis nữa. Kể tấn công đã tận dụng quyền truy cập của anh ta để xâm nhập hạ tầng IT của Sky Mavis và kiểm soát các node validator”
Validator có nhiều chức năng trong blockchain, bao gồm tham gia tạo ra các blockc giao dịch và cập nhật data oracle. Ronin sử dụng một hệ thống gọi là “proof of authority” để ký các giao dịch, với quyền lực tập trung vào tay 9 validator được tin cậy.
Trong một bài blog hồi tháng 4 về sự cố của công ty phân tích blockchain Elliptic: “Tiền có thể được chuyển ra ngoài nếu 5 trong số 9 validator phê chuẩn. Kể tấn công đã tìm cách chiếm được khóa giải mã riêng tư thuộc về 5 validator, vừa đủ để đánh cắp các tài sản mã hóa”
Nhưng sau khi xâm nhập thành công hệ thống của Ronin thông qua quảng cáo tìm việc giả, các hacker mới chỉ kiểm soát được 4 trong số 9 validator - có nghĩa là họ cần thêm một validator nữa để nắm quyền kiểm soát hệ thống.
Trong một thông cáo báo chí, Sky Mavis tiết lộ các hacker đã sử dụng Axie DAO (tổ chức tự trị phi tập trung) - một nhóm được thiết lập nên để hỗ trợ hệ sinh thái game - nhằm hoàn tất vụ cướp. Sky Mavis đã yêu cầu DAO này hỗ trợ một giao dịch lớn vào tháng 11/2021.
“Axie DAO đã cho phép Sky Mavis ký nhiều giao dịch trên danh nghĩa của họ. Điều này đã bị tạm ngừng vào tháng 12/2021, nhưng quyền truy cập đó chưa bị thu hồi” - Sky Mavis nói. “Một khi kẻ tấn công truy cập được vào hệ thống của Sky Mavis, chúng đã có thể lấy được chữ ký từ validator của Axie DAO”
Một tháng sau vụ hack, Sky Mavis đã tăng số lượng node validator lên 11, và nói trong một bài blog rằng mục tiêu dài hạn của họ là vượt mốc 100.
Sky Mavis từ chối bình luận về phương thức diễn ra của vụ hack, trong khi LinkedIn thì không phản hồi nhiều yêu cầu bình luận khác.
Hồi đầu ngày hôm nay, ESET Research đã công bố một điều tra cho thấy Lazarus của Triều Tiên đã lợi dụng LinkedIn và WhatsApp bằng cách giả dạng làm nhà tuyển dụng, từ đó nhằm vào các nhà thầu hàng không và quốc phòng. Nhưng bản báo cáo này không khẳng định mối liên hệ giữa kỹ thuật này với vụ hack Sky Mavis.
Sky Mavis đã gọi được 150 triệu USD trong một vòng gọi vốn dẫn đầu bởi Binance vào đầu tháng 4. Số tiền này đã được sử dụng cùng với quỹ của chính công ty để hỗ trợ những người dùng bị ảnh hưởng bởi vụ hack. Gần đây công ty còn cho biết sẽ bắt đầu hoàn tiền cho người dùng từ ngày 28/6. Sau khi tạm ngừng hoạt động vào thời điểm bị tấn công, cầu Ethereum của Ronin đã được khởi động lại vào tuần trước.
Tỉ lệ các vụ hack DeFi đã tăng lên nhanh chóng trong năm nay, với số tiền bị đánh cắp lên đến 2 tỷ USD - theo dữ liệu của The Block Research. Vào ngày 1/1, con số này chỉ dừng lại ở mức 760 triệu USD mà thôi.
Tham khảo: TheBlock
Thành viên mới đăng