提起 Axie Infinity 這款區(qū)塊鏈游戲,許多人可能感到陌生,但如果說(shuō)其單日收入可與《王者榮耀》爭(zhēng)鋒,想必大家就對(duì)這款鏈游的熱門程度“有數(shù)”了——不過(guò),它的輝煌并沒(méi)有持續(xù)太久。
去年年中開始,主打“邊玩邊賺”(Play-to-Earn)的 Axie Infinity 可謂是風(fēng)光無(wú)兩,其通過(guò)游戲賺取加密貨幣的方式一時(shí)之間吸引了諸多玩家,日活用戶數(shù)更是在 11 月達(dá)到峰值。
但緊接著,這款游戲便進(jìn)入“下滑期”,整體收入和日活用戶數(shù)量飛速下降,今年 3 月遭遇了 DeFi(Decentralized Finance,即去中心化金融)史上最大的黑客攻擊更是“雪上加霜”:3 月 29 日,Axie Infinity 被黑客使用破解的私鑰來(lái)偽造假提款,造成了約 6.25 億美元(17.36 萬(wàn)枚以太坊和 2550 萬(wàn) USDC)的損失。
(資料圖片僅供參考)
當(dāng)時(shí),Axie Infinity 的游戲開發(fā)商 Sky Mavis 表示此次攻擊是通過(guò)網(wǎng)絡(luò)釣魚計(jì)劃實(shí)現(xiàn)的,政府方面則認(rèn)定是由黑客組織 Lazarus 發(fā)起的,但二者均未披露有關(guān)這起事件的相關(guān)細(xì)節(jié)。
如今三個(gè)月過(guò)去了,這起黑客攻擊事件的源頭終于有所眉目:據(jù)外媒 The Block 報(bào)道,這一切源于一名 Axie Infinity 高級(jí)工程師收到了由黑客組織偽裝的招聘公司所提供的一份假 Offer。
假 Offer 中夾雜著間諜軟件
正如開頭所說(shuō),Axie Infinity 曾在去年 11 月達(dá)到頂峰:擁有 270 萬(wàn)日活躍用戶,每周交易量高達(dá) 2.14 億美元?;蛟S是由于此后游戲熱度的驟減動(dòng)搖了 Axie Infinity 背后 Sky Mavis 開發(fā)團(tuán)隊(duì)的信心,總之黑客趁機(jī)向一名 Sky Mavis 高級(jí)工程師(以下用 E 代稱)拋出了“誘餌”。
今年年初,黑客組織偽裝成一所假公司,通過(guò)職業(yè)社交網(wǎng)站 LinkedIn 向 E 發(fā)送招聘廣告,邀請(qǐng) E 來(lái)他們的公司工作(實(shí)際上,這家公司并不存在)。
毫無(wú)察覺的 E 上鉤了,經(jīng)過(guò)多輪面試后,E 看似獲得了一份薪酬極其豐厚的工作,黑客組織按照正常的招聘流程通過(guò) PDF 向 E 發(fā)送了一份 Offer,E 也下載了——然而,這份 Offer 中隱藏著可以入侵到 Ronin 系統(tǒng)的間諜軟件。
準(zhǔn)確來(lái)說(shuō),遭到黑客攻擊的就是 Sky Mavis 專為 Axie Infinity 設(shè)計(jì)的以太坊側(cè)鏈 Ronin。對(duì)許多 Axie Infinity 玩家而言,他們通常并不只在一個(gè)區(qū)塊鏈生態(tài)系統(tǒng)中運(yùn)作,為此 Sky Mavis 開發(fā)了跨鏈橋 Ronin Bridge,允許玩家將以太坊或 USDC 存入 Ronin,用其購(gòu)買非同質(zhì)化代幣(NFT)或游戲內(nèi)貨幣,也可以出售其游戲內(nèi)的資產(chǎn)并提取資金。
黑客通過(guò)發(fā)給 E 的假 Offer 入侵了 Ronin 系統(tǒng),控制了其中 4 個(gè)驗(yàn)證器節(jié)點(diǎn)。而 Ronin 鏈由 9 個(gè)驗(yàn)證器節(jié)點(diǎn)組成,識(shí)別存取款事件需要得到其中 5 個(gè)節(jié)點(diǎn)的簽名,于是黑客便設(shè)法獲取了 Axie DAO 驗(yàn)證器的簽名。
Ronin 事后對(duì)此的解釋為:2021 年 11 月 Sky Mavis 的用戶負(fù)載巨大,因此請(qǐng)求了 Axie DAO 的幫助,Axie DAO 允許 Sky Mavis 代表其簽署各種交易。雖然這項(xiàng)合作于 2021 年 12 月停止,但未撤銷許可名單訪問(wèn)權(quán)限。
因此,簡(jiǎn)單概括整個(gè)流程就是:黑客通過(guò)假 Offer 中的間諜軟件控制了 4 個(gè) Ronin 驗(yàn)證器節(jié)點(diǎn)后,又利用 RPC 節(jié)點(diǎn)的后門獲取了 Axie DAO 的簽名,由此實(shí)現(xiàn)掌控 5 個(gè)節(jié)點(diǎn)簽名,最終實(shí)現(xiàn)資產(chǎn)盜竊。
Ronin Bridge 已于 6 月 28 日重新開放
根據(jù) 3 月 29 日 Ronin 發(fā)布的公告來(lái)看,黑客早在 3 月 23 日就兩次利用 Ronin Bridge 竊取了 17.36 萬(wàn)枚以太坊,以及價(jià)值超 2550 萬(wàn)美元的 USDC。但直到 3 月 29 日有玩家投訴無(wú)法從 Ronin 中提取 5000 枚以太坊之后,Ronin 才發(fā)現(xiàn)其驗(yàn)證器節(jié)點(diǎn)和 Axie DAO 驗(yàn)證器節(jié)點(diǎn)已遭到破壞。
在 Sky Mavis 于 4 月 27 日發(fā)布的關(guān)于黑客攻擊的博客文章中,也隱晦提到了攻擊源頭:“員工不斷受到各種社交渠道的網(wǎng)絡(luò)釣魚攻擊,其中一名員工遭到入侵,目前這名員工已不在 Sky Mavis 工作。攻擊者設(shè)法利用該員工的訪問(wèn)權(quán)限來(lái)滲透 Sky Mavis 的 IT 基礎(chǔ)設(shè)施并獲得對(duì)驗(yàn)證節(jié)點(diǎn)的訪問(wèn)權(quán)限。”
因此當(dāng)時(shí) Sky Mavis 表示,已將其驗(yàn)證節(jié)點(diǎn)數(shù)增加到 11 個(gè),之后的長(zhǎng)期目標(biāo)是希望能拓展到 100 多個(gè)。
截止目前,Ronin Bridge 已于 6 月 28 日起重新開放,意味著 Axie Infinity 玩家可以從他們的游戲賬戶中存取資金,同時(shí)為了防止類似攻擊的再次發(fā)生,Ronin Bridge 接受了兩家知名區(qū)塊鏈安全公司 Verichains 和 Certik 的內(nèi)部審計(jì)和檢查。此外,Sky Mavis 也表示會(huì)補(bǔ)償受本次事件影響的用戶,承諾向其返還丟失的資產(chǎn)。
網(wǎng)友:“完全是員工的錯(cuò)嗎?”
對(duì)于 The Block 所報(bào)道的這場(chǎng)黑客攻擊的源頭解說(shuō),許多網(wǎng)友從不同角度發(fā)表了自己的見解。
有人指出 LinkedIn 這個(gè)平臺(tái)本身就不安全:“主要有兩點(diǎn)要強(qiáng)調(diào):
(1)LinkedIn 絕對(duì)是壞人的極好幫手,它可以輕易地用釣魚郵件和短信攻擊公司里的每個(gè)人。我知道許多安全專家在 LinkedIn 都不用他們的真名,也不透露其公司的名稱,因?yàn)樗麄冎肋@是一個(gè)很好的黑客載體。
(2)我希望有更多關(guān)于 PDF 中漏洞的信息。我想很多人會(huì)對(duì)從陌生人那里下載 PDF 文件持謹(jǐn)慎態(tài)度,但對(duì)方如果是一個(gè)面試過(guò)多次、并給了你一份工作的人,情況可能就不是這樣了?!?/p>有人認(rèn)為以太坊的安全性被炒作得過(guò)了頭:
“正如本文所說(shuō)的那樣,這個(gè)系統(tǒng)的安全保證遠(yuǎn)遠(yuǎn)弱于以太坊共識(shí)協(xié)議。但這個(gè)系統(tǒng)被那些無(wú)視這一基本事實(shí)的騙子們炒作到了極點(diǎn),還對(duì)安全性和穩(wěn)定性提出了荒謬的說(shuō)法。
基本上來(lái)說(shuō),以太坊被炒作為‘智能合約’平臺(tái)??梢坏┲悄芎霞s做了除基本轉(zhuǎn)賬以外的任何事情,它就需要一個(gè)‘驗(yàn)證器’。但也就因?yàn)椤膀?yàn)證器”的存在,安全性才大大降低。在這種顯而易見的問(wèn)題下,這樣的惡作劇還會(huì)繼續(xù)發(fā)生。”
也有人指責(zé) Sky Mavis 將事故問(wèn)題推到員工身上:“另一個(gè)導(dǎo)致攻擊事件的原因難道不是為什么這個(gè)開發(fā)者擁有 5 個(gè)簽名密鑰嗎?這根本不應(yīng)該發(fā)生,因?yàn)檫@樣的話這個(gè)開發(fā)者豈不是也有機(jī)會(huì)帶著 6.25 億美元逃逸?公司不應(yīng)該把錯(cuò)誤完全賴在員工頭上。”
參考鏈接:
https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game
https://news.ycombinator.com/item?id=32001742
- 【新視野】開發(fā)者收到“加料”的假 Offer,害上家被盜近 6.25 億美元
- 當(dāng)前視訊!相親節(jié)目治不好上億中老年人的孤獨(dú)
- 全球熱資訊!“鐘薛高”破碎的是網(wǎng)紅經(jīng)濟(jì)泡沫
- 全球球精選!瓶裝涼茶賣19.9塊,涼茶界也有刺客?
- 全球新資訊:ZARA三個(gè)姐妹品牌全線退出,快時(shí)尚關(guān)山難越
- 借貸記賬法的理論依據(jù)?借貸記賬法通俗理解
- 什么是復(fù)權(quán)概念解釋?股票復(fù)權(quán)和不復(fù)權(quán)怎么設(shè)置?
- 基金定投是什么意思?基金定期定投的優(yōu)缺點(diǎn)
- 權(quán)益工具什么意思通俗解釋?權(quán)益工具和其他權(quán)益工具的區(qū)別
- 逆向選擇是什么意思?逆向選擇與道德風(fēng)險(xiǎn)名詞解釋
- 養(yǎng)老保險(xiǎn)金可以退嗎?養(yǎng)老保險(xiǎn)交不夠15年能退嗎?
- 財(cái)務(wù)部門有哪些職位?財(cái)務(wù)管理部門組織架構(gòu)
- 尾盤拉升是什么意思?股票尾盤拉升一般是什么情況?
- win10自帶的邁克菲殺毒軟件怎么關(guān)閉?邁克菲安全中心怎么卸載?
- 斐訊(PHICOMM)路由器如何設(shè)置登錄入口?斐訊路由不能用了怎么回事?
- win7怎么進(jìn)行硬盤分區(qū)?win10如何給磁盤分區(qū)?
- 微博怎么批量刪除自己發(fā)的微博?怎么批量刪除自己發(fā)的微博?
- 當(dāng)前安全設(shè)置不允許下載該文件怎么解決?windows10電腦掃描文件怎么弄?
- 如何讓自己朋友圈顯示未開通?朋友圈沒(méi)東西和被屏蔽的區(qū)別
- 筆記本外接顯卡有用嗎?筆記本沒(méi)雷電接口怎么接顯卡?
- 浙江紹興發(fā)布上半年投訴分析報(bào)告 產(chǎn)品缺失損壞、直
- 山東煙臺(tái)開發(fā)區(qū)大季家市場(chǎng)監(jiān)管所開展夏季啤酒市場(chǎng)專
- 山東煙臺(tái)開發(fā)區(qū)市場(chǎng)監(jiān)管局開展豆制品質(zhì)量安全專項(xiàng)檢
- 山東煙臺(tái)開發(fā)區(qū)積極推行食品安全“智慧化監(jiān)管” 探
- 武漢網(wǎng)絡(luò)餐飲食品安全問(wèn)題專項(xiàng)整治行動(dòng)穩(wěn)步推行 強(qiáng)
- 廣東汕尾:市城區(qū)多措并舉強(qiáng)化豬肉市場(chǎng)監(jiān)管 依法依
- 福建莆田:上半年立案查處各類違法案件920件 有力
- 市面上果汁種類繁多 能喝的水果能否當(dāng)水喝? 快
- 廣西南寧:開展房地產(chǎn)領(lǐng)域廣告專項(xiàng)整治 促進(jìn)房地產(chǎn)
- 廣西合浦:開展“雷霆護(hù)顏”化妝品專項(xiàng)整治行動(dòng) 打
- 1 【新視野】開發(fā)者收到“加料”的假 Offer,害上家
- 2 當(dāng)前視訊!相親節(jié)目治不好上億中老年人的孤獨(dú)
- 3 全球熱資訊!“鐘薛高”破碎的是網(wǎng)紅經(jīng)濟(jì)泡沫
- 4 全球球精選!瓶裝涼茶賣19.9塊,涼茶界也有刺客?
- 5 全球新資訊:ZARA三個(gè)姐妹品牌全線退出,快時(shí)尚關(guān)山
- 6 借貸記賬法的理論依據(jù)?借貸記賬法通俗理解
- 7 什么是復(fù)權(quán)概念解釋?股票復(fù)權(quán)和不復(fù)權(quán)怎么設(shè)置?
- 8 基金定投是什么意思?基金定期定投的優(yōu)缺點(diǎn)
- 9 權(quán)益工具什么意思通俗解釋?權(quán)益工具和其他權(quán)益工具
- 10 逆向選擇是什么意思?逆向選擇與道德風(fēng)險(xiǎn)名詞解釋