更新时间:2022-07-09 00:02:39
大家目前应该是对于今日最新更新 开发者收到“加料”的假 Offer 害上家被盗近 6.25 亿美元方面的知识比较感兴趣,所以今天小编也是特地在网络上收集了一些今日最新更新 开发者收到“加料”的假 Offer 害上家被盗近 6.25 亿美元方面的知识来分享给大家,感兴趣的小伙伴就好好看下下面的文章吧。
声明:本文来自微信公众号“CSDN”(ID:CSDNnews),授权站长之家转载发布。
提起 Axie Infinity 这款区块链游戏,许多人可能感到陌生,但如果说其单日收入可与《王者荣耀》争锋,想必大家就对这款链游的热门程度“有数”了——不过,它的辉煌并没有持续太久。
去年年中开始,主打“边玩边赚”(Play-to-Earn)的 Axie Infinity 可谓是风光无两,其通过游戏赚取加密货币的方式一时之间吸引了诸多玩家,日活用户数更是在11月达到峰值。
但紧接着,这款游戏便进入“下滑期”,整体收入和日活用户数量飞速下降,今年3月遭遇了 (Decentralized Finance,即去中心化金融)史上最大的黑客攻击更是“雪上加霜”:3月29日,Axie Infinity 被黑客使用破解的私钥来伪造假提款,造成了约6.25亿美元(17.36万枚以太坊和2550万 USDC)的损失。
当时,Axie Infinity 的游戏开发商 Sky Mavis 表示此次攻击是通过网络钓鱼计划实现的,政府方面则认定是由黑客组织 Lazarus 发起的,但二者均未披露有关这起事件的相关细节。
如今三个月过去了,这起黑客攻击事件的源头终于有所眉目:据外媒 The Block 报道,这一切源于一名 Axie Infinity 高级工程师收到了由黑客组织伪装的招聘公司所提供的一份假 Offer。
正如开头所说,Axie Infinity 曾在去年11月达到顶峰:拥有270万日活跃用户,每周交易量高达2.14亿美元。或许是由于此后游戏热度的骤减动摇了 Axie Infinity 背后 Sky Mavis 开发团队的信心,总之黑客趁机向一名 Sky Mavis 高级工程师(以下用 E 代称)抛出了“诱饵”。
今年年初,黑客组织伪装成一所假公司,通过职业社交网站 LinkedIn 向 E 发送招聘广告,邀请 E 来他们的公司工作(实际上,这家公司并不存在)。
毫无察觉的 E 上钩了,经过多轮面试后,E 看似获得了一份薪酬极其丰厚的工作,黑客组织按照正常的招聘流程通过 PDF 向 E 发送了一份 Offer,E 也下载了——然而,这份 Offer 中隐藏着可以入侵到 Ronin 系统的间谍软件。
准确来说,遭到黑客攻击的就是 Sky Mavis 专为 Axie Infinity 设计的以太坊侧链 Ronin。对许多 Axie Infinity 玩家而言,他们通常并不只在一个区块链生态系统中运作,为此 Sky Mavis 开发了跨链桥 Ronin Bridge,允许玩家将以太坊或 USDC 存入 Ronin,用其购买非同质化代币(NFT)或游戏内货币,也可以出售其游戏内的资产并提取资金。
黑客通过发给 E 的假 Offer 入侵了 Ronin 系统,控制了其中4个验证器节点。而 Ronin 链由9个验证器节点组成,识别存取款事件需要得到其中5个节点的签名,于是黑客便设法获取了 Axie DAO 验证器的签名。
Ronin 事后对此的解释为:2021年11月 Sky Mavis 的用户负载巨大,因此请求了 Axie DAO 的帮助,Axie DAO 允许 Sky Mavis 代表其签署各种交易。虽然这项合作于2021年12月停止,但未撤销许可名单访问权限。
因此,简单概括整个流程就是:黑客通过假 Offer 中的间谍软件控制了4个 Ronin 验证器节点后,又利用 RPC 节点的后门获取了 Axie DAO 的签名,由此实现掌控5个节点签名,最终实现资产盗窃。
根据3月29日 Ronin 发布的公告来看,黑客早在3月23日就两次利用 Ronin Bridge 窃取了17.36万枚以太坊,以及价值超2550万美元的 USDC。但直到3月29日有玩家投诉无法从 Ronin 中提取5000枚以太坊之后,Ronin 才发现其验证器节点和 Axie DAO 验证器节点已遭到破坏。
在 Sky Mavis 于4月27日发布的关于黑客攻击的博客文章中,也隐晦提到了攻击源头:“员工不断受到各种社交渠道的网络钓鱼攻击,其中一名员工遭到入侵,目前这名员工已不在 Sky Mavis 工作。攻击者设法利用该员工的访问权限来渗透 Sky Mavis 的 IT 基础设施并获得对验证节点的访问权限。”
因此当时 Sky Mavis 表示,已将其验证节点数增加到11个,之后的长期目标是希望能拓展到100多个。
截止目前,Ronin Bridge 已于6月28日起重新开放,意味着 Axie Infinity 玩家可以从他们的游戏账户中存取资金,同时为了防止类似攻击的再次发生,Ronin Bridge 接受了两家知名区块链安全公司 Verichains 和 Certik 的内部审计和检查。此外,Sky Mavis 也表示会补偿受本次事件影响的用户,承诺向其返还丢失的资产。
对于 The Block 所报道的这场黑客攻击的源头解说,许多网友从不同角度发表了自己的见解。
“主要有两点要强调:
(1)LinkedIn 绝对是坏人的极好帮手,它可以轻易地用钓鱼邮件和短信攻击公司里的每个人。我知道许多安全专家在 LinkedIn 都不用他们的真名,也不透露其公司的名称,因为他们知道这是一个很好的黑客载体。
(2)我希望有更多关于 PDF 中漏洞的信息。我想很多人会对从陌生人那里下载 PDF 文件持谨慎态度,但对方如果是一个面试过多次、并给了你一份工作的人,情况可能就不是这样了。”
“正如本文所说的那样,这个系统的安全保证远远弱于以太坊共识协议。但这个系统被那些无视这一基本事实的骗子们炒作到了极点,还对安全性和稳定性提出了荒谬的说法。
基本上来说,以太坊被炒作为‘智能合约’平台。可一旦智能合约做了除基本转账以外的任何事情,它就需要一个‘验证器’。但也就因为“验证器”的存在,安全性才大大降低。在这种显而易见的问题下,这样的恶作剧还会继续发生。”
“另一个导致攻击事件的原因难道不是为什么这个开发者拥有5个签名密钥吗?这根本不应该发生,因为这样的话这个开发者岂不是也有机会带着6.25亿美元逃逸?公司不应该把错误完全赖在员工头上。”
参考链接:
https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game
https://news.ycombinator.com/item?id=32001742
本文到此结束,希望对大家有所帮助。
小米手环7使用教程详细(今日最新更新 官宣支持GPS独立卫星定位 小米手环7 Pro系列将发)
Facebook上的订单在隐私方面伤害了苹果
LastPass Free用户将在一个月内失去使用此关键功能的权限
LineageOS终止对Android 9 Pie的支持
三星Galaxy F62配有7000mAh电池四后置摄像头和7nm芯片组
Spotify将于今年晚些时候推出无损流媒体层HiFi
Google重点介绍了Android的多项改进
5月16日16时上海松江区最新疫情今天消息
停止为十二南StayGoUSBC集线器节省百分之15的费用
如何在iPad上执行多任务分割视图滑行等
iOS13如何自定义您的iMessage配置文件
AwairElement室内空气质量监测仪评论外观新颖价格较低