This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
ハッカーが偽の求人を利用して有名なブロックチェーンゲームを攻撃し、5.4億ドルの暗号資産を盗んだ
有名なブロックチェーンゲームが驚くべきハッカー攻撃に遭う、その原因は偽の求人に起因する
ある有名なブロックチェーンゲームの専用サイドチェーンが今年の3月に重大なハッカー事件に遭遇し、最大5.4億ドルの暗号通貨損失を引き起こしました。アメリカ政府はその後、この事件をある国家級のハッカー組織と関連付けましたが、具体的な詳細はまだ完全には公開されていません。
報道によると、この事件は偽の求人広告に関連している。関係者によると、今年初めに、ある会社を代表すると名乗る人物がソーシャルプラットフォームを通じてゲーム開発者の従業員に連絡を取り、仕事に応募するように促した。複数回の面接を経て、あるエンジニアが高給のポジションを得た。
その後、そのエンジニアは偽造された採用通知書のPDF文書を受け取りました。その文書をダウンロードした後、ハッカーソフトウェアはそのサイドチェーンのシステムに成功裏に侵入しました。ハッカーは続いてネットワーク上の9つの検証ノードのうち4つを攻撃し制御し、ネットワーク全体を完全に掌握するのにあと一歩のところまで来ました。
開発会社は事後の声明で次のように述べています。「私たちの従業員は、さまざまなソーシャルエンジニアリングの高度なフィッシング攻撃を継続的に受けており、その中の1人が不幸にも侵害されました。攻撃者は取得したアクセス権を利用して会社のITインフラに侵入し、検証ノードの制御を獲得しました。」
このサイドチェーンは「権威証明」メカニズムを用いてトランザクションに署名し、9人の信頼されたバリデーターに権力を集中させています。ブロックチェーン分析機関は次のように説明しています:「9人のバリデーターのうち5人が承認すれば、資金を移動できます。攻撃者は5人のバリデーターのプライベートキーを取得し、暗号資産を盗むことができました。」
ハッカーは偽の求人広告を通じてシステムに成功裏に侵入し、4つのバリデーターを制御しましたが、攻撃を完了するにはもう1つ制御する必要があります。開発会社は、ハッカーが最終的にゲームエコシステムをサポートするDAO組織を利用して攻撃を完了したことを明らかにしました。同社は以前、このDAOに重い取引負荷の処理を支援するよう依頼していました。
"DAOは開発会社がその名の下にさまざまな取引に署名することを許可します。この慣行は昨年の12月に停止されましたが、許可リストへのアクセス権は撤回されていません。"と会社は声明の中で説明しました。"一旦攻撃者がシステムに侵入すると、DAOのバリデーターから署名を取得することができます。"
ハッカーの攻撃を受けてから1か月後、開発会社は検証ノードの数を11に増やし、長期的な目標は100以上のノードを持つことだと述べた。会社はハッカー攻撃の具体的なプロセスについてコメントを拒否した。
その会社は4月初めに、ある取引プラットフォーム主導の1億5000万ドルの資金調達を受け、攻撃の影響を受けたユーザーへの補償に充てることを発表しました。会社は最近、6月28日からユーザーに資金を返還し始めると述べています。ハッカー攻撃の後に停止していたイーサリアムのクロスチェーンブリッジも先週再開されました。
安全研究機関が最近発表した調査によると、ある国家級ハッカー組織がソーシャルプラットフォームを悪用し、航空宇宙および国防請負業者に対して攻撃を行っていることが示されています。しかし、この報告は今回のゲーム会社が受けたハッカー攻撃との関連を示していません。
別のセキュリティ機関も以前警告を発表し、ある国家級ハッカー組織がデジタル通貨業界を標的にした一連の悪意のあるアプリケーションを使用していると述べました。彼らの手法には以下が含まれます:
このような脅威に対して、セキュリティ専門家は次のように提案しています: