Axie Infinity: Sehr komplizierter Hack über gefälschte LinkedIn-Stellenangebote
Der Axie Infinity-Hack war auf eine gefälschte Stellenausschreibung auf LinkedIn zurückzuführen. Ein großartiges Beispiel für Social Engineering.
Axie Infinity war letztes Jahr ein führendes Beispiel auf dem Krypto-Gaming-Markt, mit einer „Play to Earn“-Formel, die im vergangenen November mindestens 2,7 Millionen täglich aktive Spieler erreichte. Doch im März scheiterte alles, als Hacker umgerechnet 625 Millionen US-Dollar aus der mit Ethereum verbundenen Ronin-Sidechain stahlen, auf der das Spiel basiert.
Der Axie Infinity-Hack war auf eine gefälschte Stellenausschreibung auf LinkedIn zurückzuführen.
Laut The Block haben Hacker laut zwei verschiedenen Quellen den Eigentümer des Axie Infinity Sky Mavin Network infiltriert, indem sie mit Spyware infizierte PDF-Dateien an einen Mitarbeiter gesendet haben. Dieser Mann dachte, er würde ein gut bezahltes Jobangebot von einem anderen Unternehmen annehmen, einem Unternehmen, das nie wirklich existierte. Nach Angaben der US-Regierung steckte die nordkoreanische Hackergruppe Lazarus hinter dem Angriff.
„Mitarbeiter sind ein ständiges Ziel raffinierter Spear-Phishing-Angriffe auf verschiedenen sozialen Kanälen, und ein Mitarbeiter wurde kompromittiert“, erklärte Sky Mavis in einem Blogbeitrag nach dem Hack. „Dieser Mitarbeiter ist nicht mehr bei Sky Mavis. Der Angreifer konnte diesen Zugang nutzen, um in die IT-Infrastruktur von Sky Mavis einzudringen und sich Zugang zu den Verifizierungsknoten zu verschaffen.“
Tolles Beispiel für Social Engineering
Axie Infinity hat letzte Woche den Betrieb wieder aufgenommen und basiert immer noch auf der Ronin-Sidechain, jedoch mit verbesserten Sicherheitsmaßnahmen. Das Unternehmen erhöhte außerdem die Anzahl der Validierungsknoten im April von 9 auf 11, was es Hackern erschwert, das Netzwerk zu kontrollieren. (Lazarus hat auf 5 Knoten zugegriffen, um diesen Hack durchzuführen, einschließlich des Axie-DAO-Knotens.) Außerdem ist ein „Kill-Switch“-System implementiert, um große Anfälle zu erkennen.
Obwohl dieser Hack sorgfältig geplant war und viel technisches Wissen erforderte, basiert er erneut auf einer klassischen Schwachstelle: Social Engineering.
Schreibe einen Kommentar