Eddig kevés információ szivárgott ki a vietnámi Sky Mavis blockchainalapú játékát ért márciusi támadásról. Az Axie Infinity rendszeréből eltűnt közel 600 millió dollár értékű token. A támadást az amerikai kormány a hírhedt észak-koreai hekkercsoporthoz, a Lazarushoz kötötte.

A The Blocknak most két, az ügyet közvetlenül ismerő ember azt állította, hogy az Axie Infinity egyik vezető mérnökén keresztül jutottak be a támadók.

Hamis cég hamis ajánlata fertőzött

Az év elején a Sky Mavis több munkatársát megkereste egy cég vonzó állásajánlatokkal a LinkedInen. Az egyik vezető mérnök látott fantáziát a munkahelyváltásban. Több interjúkör után egy rendkívül bőkezű kompenzációs csomaggal járó izgalmas állást alkudott ki magának. A végleges ajánlat PDF dokumentumként érkezett. A mérnök letöltötte, és azzal egy kémprogramot is bejuttatott a Sky Mavis játékához tartozó wallet, a Ronin rendszerébe. A kémprogram segítségével a hekkereknek sikerült kompromittálni a Ronin hálózat kilenc validálójából négyet.

A validátor csomópontok feladata például a tranzakciós blokkok létrehozása, illetve az ún. blockchain "adatorákulumok" (data oracles) frissítése. Utóbbiak kötik össze a blockchain alapon létrehozott okosszerződéseket a való világ eseményeivel (pl. az Allianz új okosszerződésen alapuló utasbiztosítását a reptéri eseményeket rögzítő külső rendszerekkel). A Ronin úgynevezett "proof of authority" rendszerében egy tranzakció akkor teljesül, ha azt bármelyik öt validátor jóváhagyta. A hiányzó ötödik validátort végül kerülő úton, az Axie DAO-tól (Decentralized Autonomous Organization) szerezték meg a hekkerek. (Az Axie átmenetileg segített a Sky Mavis tranzakcióinak a kezelésében, és utána nem vonták vissza a hozzáférését az engedélyezési listához.)

A Sky Mavis később közölte: alkalmazottait folyamatosan érik célzott adathalász támadások (spear-phishing). Az egyik alkalmazottat sikerült is kompromittálni, és így rajta keresztül jutottak el a hekkerek a validátor csomópontokhoz. Az illető már nem a Sky Mavis alkalmazottja.

A tranzakciók védelmét azonban megerősítették. A támadás után egy hónappal már 11 validátorcsomópontot használt, és a távlati cél számuk 100 fölé emelése.

A munkaerőhiány miatt bármi reális

A globális munkaerőhiány a hekkerek előtt is új kapukat nyit. Egyre több olyan támadásra figyelmeztetnek szakértők, amely ezt a trendet lovagolja meg. Mint korábban írtuk, az FBI olyan akciókra figyelmeztetett, ahol egy távmunkás állásra a reménybeli szakember helyett egy deepfake technológiával módosított arcú-hangú kiberbűnöző jelentkezik.

A Sky Maven elleni támadás más módszert alkalmaz, de a csali itt is ugyanaz: a munkaerőhiány. Ráadásul nem is egyedi akcióról van szó: az ESET egy múlt havi jelentésében szintén arra hívja fel a figyelmet, hogy a Lazarus előszeretettel használja a LinkedInt, a WhatsAppot és a Slacket ilyen célokra, épp ilyen módszerekkel.