全球熱門 NFT 遊戲平台 Axie Infinity,曾於今(2022)年三月時發生損失高達 5.4 億美元的駭侵事件;日前一家名為 The Block 的區塊鏈專業媒體發表調查報告,指出該起攻擊事件係由 APT 組織 Lazarus 成員應徵該平台資深工程師職務,混入平台後進而竊得重要金鑰所致。
Axie Infinity 是目前全球熱門的 NFT 遊戲平台之一,主打「邊玩邊賺」模式,玩家只要在平台內購買以 NFT 型式販售的虛擬寵物和道具,即可透過對戰和寵物養成買賣來賺取利潤。最熱門時每日活躍用戶高達 270 萬人,每周交易額高達 2.14 億美元;甚至在菲律賓等東南亞國家,更有許多人靠替玩家代練虛擬寵物維生。
The Block 在近日推出的調查報告中說,該平台遭駭是因為 APT 團體成員,以空頭公司透過求職求才社群平台 LinkedIn,對 Axie Infinity 內部資深工程師進行高薪挖角,並發給獲得「錄取」的 Axie Infinity 工程師一個含有惡意程式碼的 PDF 檔做為錄取通知書,藉以駭入 Axie Infinity 使用的以太坊區塊鏈側鏈 Ronin 的系統內。
該報告指出,Lazarus 的駭侵者在成功入侵 Ronin 的系統後,很快就在 3 月 23 日取得了在 Ronin 上負責驗證交易的 9 個驗證者中的其中 5 個,因而可以控制交易驗證。資安專家表示,Axie Infinity 的區塊鏈交易問題不只是出在驗證者數量過少,更是因為這些驗證者都集中在一處,不夠分散,因此才會讓駭侵者一次掌握過半的驗證者,可以任意操作交易結果。
在 3 月發生的該起駭侵攻擊中,Lazarus 共取得高達 173,600 枚以太幣,以及 2,550 萬枚 USDC 穩定幣,以當時幣價來看,相當於 5.4 億美元,是一次十分成功的魚叉式釣魚攻擊。
鑑於駭侵者用以植入惡意軟體的手段愈見多元,建議掌握大量金流或用戶個資的公私單位,都必須加強釣魚攻擊的對抗能力,並且嚴格要求工作者禁止利用工作用電腦存取私人資源。
- 參考連結
How a fake job offer took down the world’s most popular crypto game
Popular NFT Marketplace Phished for $540M
https://threatpost.com/popular-nft-marketplace-phished-for-540m/180174/
留言列表
資安宣導 (2)
