Axie Infinity была ограблена через фейковый оффер на Linkedin

Один из старших инженеров Sky Mavis (главного разработчика игры от Axie Infinity) получил предложение о новой работе, от которого не смог отказаться. Эта попытка улучшить свою жизнь вылилась в огромные проблемы в виде взлома моста Ronin и кражи из него криптоактивов на сотни миллионов долларов.

Хакеры создали оффер с вакансией в несуществующей компании и разместили его в социальной сети Linkedin. Откликнувшись на него, упомянутый сотрудник попал в расставленную ловушку, скачав зараженный файл и невольно установив на свой компьютер шпионское программное обеспечение. 

“Прелюдия” включала в себя несколько раундов собеседования, в которых инженер доказывал свою профессиональную пригодность. Вероятно, это и стало причиной того, что, получив приглашение на должность с чрезвычайно щедрым компенсационным пакетом, он фактически “отключил голову”.

После расследования и раскрытия прецедента, скомпрометированный инженер был уволен из Sky Mavis, и теперь, скорее всего, будет вынужден переквалифицироваться в управдомы – подобный фейл наверняка испортит его послужной список навсегда, даже при всей проявленной деликатной конфиденциальности.

Проблема сайдчейн-моста Ronin, который используется игроками Axie Infinity для взаимодействия с блокчейном Ethereum, заключается в очень небольшом количестве валидаторов (на момент взлома, протокол требовал всего 9). Для подписания транзакций было достаточно согласия 5 узлов из 9.

Таким образом, захватив контроль над относительно небольшим количеством нод, злоумышленники могли получить доступ к полномочиям узлов валидаторов и, тем самым, допустить подтверждение невалидных операций.

Именно так и случилось: мошенники воспользовались похищенными криптографическими ключами и унесли с собой $625 млн, что сделало этот кейс одним из самых крупных в истории децентрализованных финансов. 

Слабым местом (кроме, конечно, человеческого фактора) была признана именно система "доказательство полномочий" (“proof of authority”), которая позволяла узурпировать процесс валидации в одних руках.

Очевидным решением представлялось увеличение количества валидаторов, что снижало бы как риски взломов, так и их последствий. Поэтому уже через месяц после атаки компания Sky Mavis довела количество нод до 11, а долгосрочной целью было объявлено превышение порога в 100 узлов.