Engenheiro do Axie Infinity sofre ataque hacker em grande escala devido a recrutamento falso

Um engenheiro sênior da Axie Infinity se candidatou a uma oferta de emprego aparentemente atraente, mas acabou se tornando o estopim de um dos maiores ataques hackers da indústria de criptomoedas. Este incidente resultou em uma perda de 540 milhões de dólares em criptomoedas na sidechain Ronin, exclusiva da Axie Infinity.

De acordo com informações, no início deste ano, uma pessoa que se dizia representar uma determinada empresa contactou um funcionário da desenvolvedora de Axie Infinity, Sky Mavis, através de uma plataforma de redes sociais profissionais, encorajando-o a candidatar-se. Após várias entrevistas, um engenheiro da Sky Mavis recebeu uma oferta de contratação generosa. No entanto, esta oferta, apresentada em formato PDF, era na verdade uma armadilha cuidadosamente elaborada. Após o engenheiro baixar o documento, o software hacker conseguiu infiltrar-se no sistema Ronin.

Hacker atacou e controlou quatro dos nove validadores na rede Ronin. A Sky Mavis, em um comunicado posterior, afirmou que os funcionários da empresa continuam a sofrer vários ataques de phishing avançados em canais sociais, sendo que um dos funcionários infelizmente caiu na armadilha. Os atacantes utilizaram o acesso obtido para infiltrar-se na infraestrutura de TI da Sky Mavis, conseguindo assim obter o controle dos nós validadores.

Ronin utiliza um sistema de "prova de autoridade" para a assinatura de transações, concentrando o poder em nove validadores de confiança. A empresa de análise de blockchain Elliptic explicou que, desde que cinco dos nove validadores aprovem, os fundos podem ser transferidos. Um hacker conseguiu obter as chaves privadas de cinco validadores, permitindo-lhe roubar ativos criptográficos.

Após infiltrar-se com sucesso no sistema Ronin através de anúncios de recrutamento falsos, o hacker já controlou quatro validadores e precisa de um validador para completar o ataque. A Sky Mavis revelou que o hacker usou o Axie DAO (uma organização que suporta o ecossistema de jogos) para realizar o ataque. A Sky Mavis havia solicitado a ajuda do DAO em novembro de 2021 para lidar com a pesada carga de transações, mas não revogou o acesso à lista de permissões após parar em dezembro de 2021. Assim que o atacante entra no sistema da Sky Mavis, ele pode obter assinaturas dos validadores do Axie DAO.

Um mês após o ataque hacker, a Sky Mavis aumentou o número de seus nós de validação para 11 e afirmou que o objetivo a longo prazo é ter mais de 100 nós. A empresa também arrecadou 150 milhões de dólares em um financiamento liderado por uma plataforma de negociação, para compensar os usuários afetados pelo ataque. A Sky Mavis anunciou recentemente que começará a devolver fundos aos usuários a partir de 28 de junho. A ponte Ethereum da Ronin parou repentinamente após o ataque hacker e foi reiniciada na semana passada.

As agências de segurança já em abril deste ano emitiram um aviso, apontando que um determinado grupo de hackers a nível nacional estava a utilizar as redes sociais para realizar ataques direcionados à indústria das criptomoedas. Eles se fazem passar por diferentes papéis nas plataformas sociais, estabelecendo contato com desenvolvedores da indústria blockchain, e até criando sites de negociação falsos para recrutar funcionários terceirizados, com o objetivo de enganar a confiança dos desenvolvedores e, assim, enviar malware para realizar ataques de phishing.

Para prevenir ataques semelhantes, os especialistas em segurança recomendam:

1. Os profissionais da indústria devem acompanhar de perto as informações de segurança das plataformas de ameaças domésticas e internacionais, e realizar uma autoavaliação adequada.
2. Os desenvolvedores devem realizar as verificações de segurança necessárias antes de executar o programa executável.
3. Estabelecer um mecanismo de zero confiança para reduzir efetivamente os riscos trazidos por esse tipo de ameaça.
4. Os utilizadores de Mac/Windows devem manter a proteção em tempo real do software de segurança ativada e atualizar regularmente a base de dados de vírus.