Axie Infinity: Hack très compliqué via une fausse offre d’emploi LinkedIn
Le piratage d’Axie Infinity était dû à une fausse offre d’emploi sur LinkedIn. Un bel exemple d’ingénierie sociale.
Axie Infinity a été un exemple de premier plan sur le marché des jeux de crypto l’année dernière, avec une formule « jouer pour gagner » atteignant au moins 2,7 millions de joueurs actifs quotidiens en novembre dernier. Mais tout cela s’est effondré en mars lorsque des pirates ont volé l’équivalent de 625 millions de dollars de la chaîne latérale Ronin liée à Ethereum sur laquelle le jeu est basé.
Le piratage d’Axie Infinity était dû à une fausse offre d’emploi sur LinkedIn.
Selon The Block, des pirates ont infiltré le propriétaire d’Axie Infinity Sky Mavin Network en envoyant des fichiers PDF infectés par des logiciels espions à un employé, selon deux sources distinctes. Cet homme pensait accepter une offre d’emploi bien rémunérée d’une autre entreprise, une entreprise qui n’a jamais vraiment existé. Selon le gouvernement américain, le groupe de hackers nord-coréen Lazarus était à l’origine de l’attaque.
« Les employés sont une cible constante d’attaques de harponnage sophistiquées sur divers canaux sociaux, et un employé a été compromis », a expliqué Sky Mavis dans un article de blog après le piratage. « Cet employé n’est plus chez Sky Mavis. L’attaquant a pu utiliser cet accès pour infiltrer l’infrastructure informatique de Sky Mavis et accéder aux nœuds de vérification.
Bel exemple d’ingénierie sociale
Axie Infinity a repris ses activités la semaine dernière et est toujours basé sur la sidechain Ronin, mais avec des mesures de sécurité renforcées. La société a également augmenté le nombre de nœuds de validation à 11 en avril contre 9 plus tôt, ce qui rend plus difficile pour les pirates de contrôler le réseau. (Lazarus a accédé à 5 nœuds pour effectuer ce hack, y compris le nœud Axie DAO.) Et il implémente également un système de « kill switch » pour détecter les saisies importantes.
Bien que ce hack ait été soigneusement planifié et ait nécessité de nombreuses connaissances techniques, il repose à nouveau sur une vulnérabilité classique : l’ingénierie sociale.
Laisser un commentaire