一份假Offer如何盜走了「Axie infinity」5.4億美元？_SKYM

本文來自TheBlock，原文作者：RyanWeeks，由Odaily星球日報譯者Katie辜編譯。

今年早些時候，黑客誘騙AxieInfinity的一名高級工程師申請了一家虛構的公司的工作，最終導致AxieInfinity遭受5.4億美元加密貨幣的損失。以下是TheBlock報道的黑客入侵AxieInfinity的細節。

很少能有求職經歷比AxieInfinity高級工程師的遭遇更刺激了。他對加入一家虛構公司的興趣最終促成了加密行業最大的黑客攻擊之一。

去年11月，AxieInfinity游戲內NFT的日活躍用戶一度達到270萬，周交易額達到2.14億美元。

紐約市市長收到第一份BTC和ETH薪水:金色財經報道，紐約市市長Eric Adams兌現了之前的承諾，通過自動兌換方式獲得了他的第一份加密貨幣工資。根據市長辦公室周四的一份聲明，Adams的工資通過Coinbase被兌換成了BTC和ETH。

此前消息，紐約市新當選市長表示將以比特幣的形式接受前三個月的工資。（The Block）[2022/1/21 9:02:44]

而今年3月，P2E鏈游龍頭AxieInfinity的以太坊側鏈Ronin損失了價值5.4億美元的加密貨幣。雖然美國政府后來將這一事件與朝鮮黑客組織Lazarus聯系在一起，但有關這次攻擊是如何進行的全部細節尚未披露。其實毀掉Ronin的僅僅是一個虛假的招聘廣告。兩名了解此事的人士表示，AxieInfinity的一名高級工程師被騙申請了一家實際上并不存在的公司的職位。由于事件的敏感性，這兩名人士要求匿名。

全球七個主要央行已為現金數字貨幣勾勒出一份可能的運作手冊:金色財經報道，包括美國、英國及歐洲央行等七家央行為現金數字貨幣勾勒出一份可能的運作手冊，希望在趕上加密貨幣趨勢之際，也能兼顧有關商業銀行可能受到沖擊的疑慮。這七家央行指出，公開使用的零售型央行數字貨幣必須同時運用到公共部門及民間部門機構，以便與既有的支付體系融合，現有的金融系統必須有時間來適應央行數字貨幣的引入，如果商業銀行客戶突然將儲蓄轉移到數字貨幣中，可能會出現緩慢的銀行擠兌風險。此外，商業銀行擔心零售型CBDC可能侵蝕自身的存款基礎，目前正設法影響CBDC的設計，七大央行對此則是淡化CBDC對商業銀行業務模式的威脅，稱“我們的分析顯示，對金融行業銀行去中介化及放款的影響是可以控制的。”（路透社）[2021/10/1 17:19:33]

據知情人士透露，今年早些時候，自稱代表這家假冒公司的人通過LinkedIn和WhatsApp勾搭了AxieInfinity開發商SkyMavis的員工，利用新工作機會引誘他。有消息稱，在經過多輪面試后，SkyMavis的一名工程師獲得了一份薪酬極其豐厚的工作。

突發 | 何一辟謠：市場流傳一份幣安股權轉讓的材料和幣安沒有關聯: 幣安何一發微博辟謠稱，市場流傳一份幣安股權轉讓的材料，和幣安沒有關聯，請投資者自行甄別。[2018/6/26]

這個虛假Offer是以PDF文件的形式發送的，工程師下載了這個文件——這讓木馬得以滲透到Ronin的系統中。從那時起，黑客可以攻擊并接管Ronin網絡上9個驗證器中的4個，只差1個驗證器無法完全控制。

SkyMavis在4月27日發布的一篇博文中對此次黑客攻擊進行了分析，文章稱：“員工在各種社交渠道上不斷受到高級釣魚網絡攻擊，其中一名員工遭到了攻擊。這名員工已經不在SkyMavis工作了。攻擊者成功利用該訪問權限滲透SkyMavis的IT基礎設施，并獲得了對驗證器節點的訪問權限。”

國內第一份官方的區塊鏈產業白皮書今日發布：區塊鏈未來三年將在實體經濟廣泛落地:今天上午11點，工信部信息中心正式發布《2018年中國區塊鏈產業發展白皮書》。負責該白皮書項目的工信部信息中心工業經濟研究所所長于佳寧表示，這是國內第一份官方發布的區塊鏈產業白皮書。

該白皮書表示，區塊鏈產業已經形成，并且成為創新高地。根據白皮書總結，目前區塊鏈發展有六大趨勢：一、區塊鏈成為全球技術發展的前沿陣地，開辟國際競爭新賽道；二、區塊鏈領域成為創新創業的新熱土，技術融合將拓展應用新空間；三、區塊鏈未來三年將在實體經濟中廣泛落地，成為數字中國建設的重要支撐；四、區塊鏈打造新型平臺經濟，開啟共享經濟新時代；五、區塊鏈加速“可信數字化”進程，帶動金融“脫虛向實”服務實體經濟；六、區塊鏈監管和標準體系將進一步完善，產業發展基礎繼續夯實。[2018/5/20]

驗證器在區塊鏈中可實現各種功能，包括創建交易區塊和更新數據預言機。Ronin使用所謂的“授權證明”系統來簽署交易，將權力集中在9個可信任的驗證者手中。

區塊鏈分析公司Elliptic在今年4月的一篇博客文章中解釋說：“如果九個驗證者中有五個批準，資金就可以轉移出去。攻擊者設法獲得了5個驗證器的私有加密密鑰，這足以竊取加密資產。”

但在通過假招聘廣告成功滲透到Ronin的系統后，黑客只控制了9個驗證器中的4個——這意味著黑客還需要另一個才能控制Ronin系統。

在事后分析中，SkyMavis透露，黑客成功地使用了AxieDAO來完成盜取。SkyMavis曾在2021年11月請求AxieDAO幫助處理交易負載問題。

“AxieDAO允許SkyMavis代表其簽署各種交易。在2021年12月暫停，但允許訪問列表沒有被撤銷，”SkyMavis在博客文章中說。“一旦攻擊者進入SkyMavis系統，他們就能從AxieDAO驗證器獲得簽名。”

黑客入侵一個月后，SkyMavis將其驗證器節點的數量增加到11個，并在博客文章中表示，其長期目標是超過100個。

當記者聯系到SkyMavis時，該公司拒絕就此次黑客攻擊是如何進行的置評。LinkedIn也多次拒絕置評。

今天早些時候，ESET研究公司公布了一項調查，顯示朝鮮黑客組織Lazarus用LinkedIn和WhatsApp冒充招募人員，目標人群是航空航天和國防承包商。但該報告并未將該技術與SkyMavis黑客聯系起來。

今年4月初，SkyMavis在由幣安領投的一輪融資中籌集了1.5億美元。所得款項將與該公司備用資金一起用于補償受該漏洞影響的用戶。AxieInfinity最近表示，將于6月28日開始向返還用戶資金。在被黑客攻擊時突然中斷的Ronin的以太坊橋也于上周也重新啟動了。

根據TheBlockResearch的數據，今年DeFi黑客攻擊事件頻發，損失的資金總額超過20億美元。1月1日，這一數字僅為7.6億美元。

Tags：SKYAVIMAVSKYMsky幣是真的嗎Xaviera Techmav幣前景Skymap

狗狗幣價格