Rarement une demande d’emploi s’est retournée contre lui de manière plus spectaculaire que dans le cas d’un ingénieur senior chez Axie Infinity, dont l’intérêt à rejoindre ce qui s’est avéré être une entreprise fictive a conduit à l’un des plus gros hacks du secteur de la cryptographie.

Ronin, la sidechain liée à Ethereum qui sous-tend le jeu play-to-earn Axie Infinity, perdu 540 millions de dollars en crypto à un exploit en mars. Alors que le gouvernement américain plus tard lié l’incident au groupe de piratage nord-coréen Lazarus, tous les détails sur la façon dont l’exploit a été réalisé n’ont pas été divulgués.

Le Bloc peut maintenant révéler qu’une fausse offre d’emploi a causé la perte de Ronin.

Selon deux personnes ayant une connaissance directe de l’affaire, qui ont obtenu l’anonymat en raison de la nature sensible de l’incident, un ingénieur senior d’Axie Infinity a été dupé pour postuler à un emploi dans une entreprise qui, en réalité, n’existait pas.

Axie Infinity était énorme. À son apogée, les travailleurs d’Asie du Sud-Est étaient même capable de gagner sa vie à travers le jeu play-to-earn. Il se vantait 2,7 millions d’utilisateurs actifs quotidiens et 214 millions de dollars en volume de transactions hebdomadaire pour ses NFT en jeu en novembre de l’année dernière – bien que les deux chiffres aient depuis chuté.

Plus tôt cette année, le personnel du développeur d’Axie Infinity, Sky Mavis, a été approché par des personnes prétendant représenter la fausse entreprise et encouragé à postuler à des emplois, selon les personnes proches du dossier. Une source a ajouté que les démarches ont été faites via le site de réseautage professionnel LinkedIn.

Après ce qu’une source a décrit comme plusieurs séries d’entretiens, un ingénieur de Sky Mavis s’est vu offrir un emploi avec une rémunération extrêmement généreuse.

La fausse « offre » a été livrée sous la forme d’un document PDF, que l’ingénieur a téléchargé – permettant aux logiciels espions d’infiltrer les systèmes de Ronin. À partir de là, les pirates ont pu attaquer et prendre le contrôle de quatre des neuf validateurs du réseau Ronin, leur laissant un seul validateur à court de contrôle total.

Dans une autopsie article de blog sur le piratage, publié le 27 avril, Sky Mavis a déclaré: «Les employés sont constamment victimes d’attaques de harponnage avancées sur divers canaux sociaux et un employé a été compromis. Cet employé ne travaille plus chez Sky Mavis. L’attaquant a réussi à tirer parti de cet accès pour pénétrer dans l’infrastructure informatique de Sky Mavis et accéder aux nœuds de validation.

Les validateurs remplissent diverses fonctions dans les blockchains, notamment la création de blocs de transaction et la mise à jour des oracles de données. Ronin utilise un système dit de « preuve d’autorité » pour signer les transactions, concentrant le pouvoir entre les mains de neuf acteurs de confiance.

Un avril article de blog sur l’incident de la société d’analyse blockchain Elliptic explique: «Les fonds peuvent être retirés si cinq des neuf validateurs l’approuvent. L’attaquant a réussi à mettre la main sur les clés cryptographiques privées appartenant à cinq des validateurs, ce qui était suffisant pour voler les crypto-actifs.

Mais après avoir réussi à infiltrer les systèmes de Ronin via la fausse offre d’emploi, les pirates n’avaient le contrôle que de quatre des neuf validateurs, ce qui signifie qu’ils en avaient besoin d’un autre pour prendre le contrôle.

Dans son autopsieSky Mavis a révélé que les pirates ont réussi à utiliser l’Axie DAO (Organisation autonome décentralisée) – un groupe mis en place pour soutenir l’écosystème du jeu – pour terminer le braquage. Sky Mavis avait demandé au DAO de l’aide pour faire face à une lourde charge de transactions en novembre 2021.

« L’Axie DAO a autorisé Sky Mavis à signer diverses transactions en son nom. Cela a été interrompu en décembre 2021, mais l’accès à la liste d’autorisation n’a pas été révoqué », a déclaré Sky Mavis dans le billet de blog. « Une fois que l’attaquant a eu accès aux systèmes Sky Mavis, il a pu obtenir la signature du validateur Axie DAO. »

Un mois après le piratage, Sky Mavis avait augmenté le nombre de ses nœuds de validation à 11 et a déclaré dans le billet de blog que son objectif à long terme était d’en avoir plus de 100.

Sky Mavis a refusé de commenter la façon dont le piratage a été effectué lorsqu’il a été atteint. LinkedIn n’a pas répondu aux multiples demandes de commentaires.

Plus tôt dans la journée, ESET Research publié une enquête montrant que Lazarus de Corée du Nord avait abusé de LinkedIn et de WhatsApp en se faisant passer pour des recruteurs pour cibler des sous-traitants de l’aérospatiale et de la défense. Mais le rapport n’a pas lié cette technique au piratage de Sky Mavis.

Ciel Mavis levé 150 millions de dollars dans un tour mené par Binance début avril. Le produit sera utilisé avec les fonds propres de l’entreprise pour rembourser les utilisateurs touchés par l’exploit. L’entreprise dit récemment qu’il commencerait à restituer des fonds aux utilisateurs le 28 juin. Après s’être soudainement arrêté au moment du piratage, le pont Ethereum de Ronin a également relancé la semaine dernière.

Le taux de hacks DeFi s’est accéléré rapidement cette année, dépassant 2 milliards de dollars de fonds totaux perdus, selon Les données de recherche de blocs. Au 1er janvier, ce chiffre s’élevait à 760 millions de dollars.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *