提起 Axie Infinity 這款區塊鏈游戲,許多人可能感到陌生,但如果說其單日收入可與《王者榮耀》爭鋒,想必大家就對這款鏈游的熱門程度“有數”了——不過,它的輝煌并沒有持續太久。
去年年中開始,主打“邊玩邊賺”(Play-to-Earn)的 Axie Infinity 可謂是風光無兩,其通過游戲賺取加密貨幣的方式一時之間吸引了諸多玩家,日活用戶數更是在 11 月達到峰值。
但緊接著,這款游戲便進入“下滑期”,整體收入和日活用戶數量飛速下降,今年 3 月遭遇了 DeFi(Decentralized Finance,即去中心化金融)史上最大的黑客攻擊更是“雪上加霜”:3 月 29 日,Axie Infinity 被黑客使用破解的私鑰來偽造假提款,造成了約 6.25 億美元(17.36 萬枚以太坊和 2550 萬 USDC)的損失。
(資料圖片僅供參考)
當時,Axie Infinity 的游戲開發商 Sky Mavis 表示此次攻擊是通過網絡釣魚計劃實現的,政府方面則認定是由黑客組織 Lazarus 發起的,但二者均未披露有關這起事件的相關細節。
如今三個月過去了,這起黑客攻擊事件的源頭終于有所眉目:據外媒 The Block 報道,這一切源于一名 Axie Infinity 高級工程師收到了由黑客組織偽裝的招聘公司所提供的一份假 Offer。
正如開頭所說,Axie Infinity 曾在去年 11 月達到頂峰:擁有 270 萬日活躍用戶,每周交易量高達 2.14 億美元。或許是由于此后游戲熱度的驟減動搖了 Axie Infinity 背后 Sky Mavis 開發團隊的信心,總之黑客趁機向一名 Sky Mavis 高級工程師(以下用 E 代稱)拋出了“誘餌”。
今年年初,黑客組織偽裝成一所假公司,通過職業社交網站 LinkedIn 向 E 發送招聘廣告,邀請 E 來他們的公司工作(實際上,這家公司并不存在)。
毫無察覺的 E 上鉤了,經過多輪面試后,E 看似獲得了一份薪酬極其豐厚的工作,黑客組織按照正常的招聘流程通過 PDF 向 E 發送了一份 Offer,E 也下載了——然而,這份 Offer 中隱藏著可以入侵到 Ronin 系統的間諜軟件。
準確來說,遭到黑客攻擊的就是 Sky Mavis 專為 Axie Infinity 設計的以太坊側鏈 Ronin。對許多 Axie Infinity 玩家而言,他們通常并不只在一個區塊鏈生態系統中運作,為此 Sky Mavis 開發了跨鏈橋 Ronin Bridge,允許玩家將以太坊或 USDC 存入 Ronin,用其購買非同質化代幣(NFT)或游戲內貨幣,也可以出售其游戲內的資產并提取資金。
黑客通過發給 E 的假 Offer 入侵了 Ronin 系統,控制了其中 4 個驗證器節點。而 Ronin 鏈由 9 個驗證器節點組成,識別存取款事件需要得到其中 5 個節點的簽名,于是黑客便設法獲取了 Axie DAO 驗證器的簽名。
Ronin 事后對此的解釋為:2021 年 11 月 Sky Mavis 的用戶負載巨大,因此請求了 Axie DAO 的幫助,Axie DAO 允許 Sky Mavis 代表其簽署各種交易。雖然這項合作于 2021 年 12 月停止,但未撤銷許可名單訪問權限。
因此,簡單概括整個流程就是:黑客通過假 Offer 中的間諜軟件控制了 4 個 Ronin 驗證器節點后,又利用 RPC 節點的后門獲取了 Axie DAO 的簽名,由此實現掌控 5 個節點簽名,最終實現資產盜竊。
根據 3 月 29 日 Ronin 發布的公告來看,黑客早在 3 月 23 日就兩次利用 Ronin Bridge 竊取了 17.36 萬枚以太坊,以及價值超 2550 萬美元的 USDC。但直到 3 月 29 日有玩家投訴無法從 Ronin 中提取 5000 枚以太坊之后,Ronin 才發現其驗證器節點和 Axie DAO 驗證器節點已遭到破壞。
在 Sky Mavis 于 4 月 27 日發布的關于黑客攻擊的博客文章中,也隱晦提到了攻擊源頭:“員工不斷受到各種社交渠道的網絡釣魚攻擊,其中一名員工遭到入侵,目前這名員工已不在 Sky Mavis 工作。攻擊者設法利用該員工的訪問權限來滲透 Sky Mavis 的 IT 基礎設施并獲得對驗證節點的訪問權限。”
因此當時 Sky Mavis 表示,已將其驗證節點數增加到 11 個,之后的長期目標是希望能拓展到 100 多個。
截止目前,Ronin Bridge 已于 6 月 28 日起重新開放,意味著 Axie Infinity 玩家可以從他們的游戲賬戶中存取資金,同時為了防止類似攻擊的再次發生,Ronin Bridge 接受了兩家知名區塊鏈安全公司 Verichains 和 Certik 的內部審計和檢查。此外,Sky Mavis 也表示會補償受本次事件影響的用戶,承諾向其返還丟失的資產。
對于 The Block 所報道的這場黑客攻擊的源頭解說,許多網友從不同角度發表了自己的見解。
有人指出 LinkedIn 這個平臺本身就不安全:“主要有兩點要強調:
(1)LinkedIn 絕對是壞人的極好幫手,它可以輕易地用釣魚郵件和短信攻擊公司里的每個人。我知道許多安全專家在 LinkedIn 都不用他們的真名,也不透露其公司的名稱,因為他們知道這是一個很好的黑客載體。
(2)我希望有更多關于 PDF 中漏洞的信息。我想很多人會對從陌生人那里下載 PDF 文件持謹慎態度,但對方如果是一個面試過多次、并給了你一份工作的人,情況可能就不是這樣了。”
有人認為以太坊的安全性被炒作得過了頭:“正如本文所說的那樣,這個系統的安全保證遠遠弱于以太坊共識協議。但這個系統被那些無視這一基本事實的騙子們炒作到了極點,還對安全性和穩定性提出了荒謬的說法。
基本上來說,以太坊被炒作為‘智能合約’平臺。可一旦智能合約做了除基本轉賬以外的任何事情,它就需要一個‘驗證器’。但也就因為“驗證器”的存在,安全性才大大降低。在這種顯而易見的問題下,這樣的惡作劇還會繼續發生。”
也有人指責 Sky Mavis 將事故問題推到員工身上:“另一個導致攻擊事件的原因難道不是為什么這個開發者擁有 5 個簽名密鑰嗎?這根本不應該發生,因為這樣的話這個開發者豈不是也有機會帶著 6.25 億美元逃逸?公司不應該把錯誤完全賴在員工頭上。”
參考鏈接:
https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game
https://news.ycombinator.com/item?id=32001742
