Axie Infinityの上級エンジニアが偽の求人に遭遇し、大規模なハッカー攻撃を引き起こす

Axie Infinityの上級エンジニアが採用プロセスの中で、巧妙に計画されたネットワーク攻撃の重要な要素となってしまい、この攻撃は最終的に暗号通貨業界におけるこれまでで最も深刻なハッカー事件の一つを引き起こしました。

今年3月、Axie Infinity専用のイーサリアムサイドチェーンRoninがハッカーの攻撃を受け、最大5.4億ドルの暗号通貨が損失しました。アメリカ政府は後にこの事件を北朝鮮のハッカー組織Lazarusに帰属させましたが、攻撃の具体的な実施詳細は完全には明らかにされていません。

関係者によると、この事件の原因は偽の求人広告です。今年の初め、ある会社を代表すると名乗る人物が職業ソーシャルプラットフォームを通じてAxie Infinityの開発者Sky Mavisの社員に連絡し、一見魅力的なポジションに応募するよう促しました。複数回の面接を経て、このSky Mavisのエンジニアは高額な報酬の仕事のオファーを受けました。

その後、エンジニアは偽造された採用通知書をPDF文書の形式で受け取りました。エンジニアがこの文書をダウンロードして開くと、ハッカーソフトウェアがRoninのシステムに成功裏に侵入しました。ハッカーはこの入口を利用し、Roninネットワーク上の9つのバリデーターのうち4つを成功裏に制御し、ネットワーク全体を完全に掌握するのはあと一歩のところまで来ました。

4月27日に発表された事後報告書で、Sky Mavisは認めた："私たちの従業員は様々なソーシャルチャネルにおける高度なフィッシング攻撃に常に直面しており、その中の1人の従業員が不幸にも侵害されました。その従業員は現在、Sky Mavisに勤務していません。攻撃者は取得したアクセス権を利用して、Sky MavisのITインフラに侵入し、検証ノードへの制御権を獲得しました。"

バリデーターはブロックチェーンにおいて複数の役割を果たし、トランザクションブロックの作成やデータオラクルの更新を行います。Roninは「権威証明」システムを採用してトランザクションに署名し、九人の信頼されたバリデーターに権限を集中させています。

あるブロックチェーン分析会社が4月に発表したブログ記事で説明しました："9人の検証者のうち5人が承認すれば、資金は移転できます。攻撃者は5人の検証者の秘密鍵を取得することに成功し、これで暗号資産を盗むのに十分です。"

しかし、ハッカーは偽の求人広告を通じてRoninシステムに成功裏に侵入した後、9人のバリデーターのうち4人しか制御できず、ネットワークを完全に制御するためにはもう1人のバリデーターが必要です。

Sky Mavisはその事後報告で、ハッカーが最終的にAxie DAO（ゲームエコシステムを支援するために設立された組織）を利用して攻撃を完了したことを明らかにしました。Sky Mavisは2021年11月にDAOに対して重い取引負荷を処理するための協力を求めていました。

"Axie DAOはSky Mavisに様々な取引を代表して署名することを許可しています。この権限は2021年12月に使用停止となりましたが、許可リストへのアクセス権は撤回されていません。"Sky Mavisはブログ記事で説明しています。"一旦ハッカーがSky Mavisシステムへのアクセス権を取得すると、彼らはAxie DAOのバリデーターから必要な署名を得ることができます。"

ハッカー攻撃発生から1か月後、Sky Mavisはその検証ノードの数を11に増やし、長期的な目標は100以上のノードを持つことだと述べた。

Sky Mavisは4月初めに1.5億ドルの資金調達を行い、この資金は会社の自己資金と共に攻撃の影響を受けたユーザーへの補償に使用されます。会社は最近、6月28日からユーザーへの資金返還を開始すると発表しました。ハッカー攻撃後に一時停止していたRoninイーサリアムブリッジも先週再開されました。

このような攻撃に対して、セキュリティ専門家は次のように推奨しています：

1. 業界の従事者は、国内外の主要な脅威プラットフォームのセキュリティ情報に密接に注目し、自己点検を行い、警戒を強めるべきである。

2. 開発者は実行可能なプログラムを実行する前に、必要な安全チェックを行うべきです。

3. ゼロトラストメカニズムを実施することで、この種の脅威によるリスクを効果的に低減できます。

4. Mac/Windows実機ユーザーは、セキュリティソフトのリアルタイム保護をオンにし、最新のウイルス定義を適時更新することをお勧めします。