Axie Infinity: Hack molto complicato tramite una falsa offerta di lavoro su LinkedIn

Axie Infinity: Hack molto complicato tramite una falsa offerta di lavoro su LinkedIn

L’hack di Axie Infinity era dovuto a un falso annuncio di lavoro su LinkedIn. Un ottimo esempio di ingegneria sociale.

Axie Infinity è stato un esempio di spicco nel mercato dei giochi di criptovalute lo scorso anno, con una formula “gioca per guadagnare” che ha raggiunto almeno 2,7 milioni di giocatori attivi ogni giorno lo scorso novembre. Ma tutto è crollato a marzo, quando gli hacker hanno rubato l’equivalente di 625 milioni di dollari dalla sidechain Ronin collegata a Ethereum su cui si basa il gioco .

L’hack di Axie Infinity era dovuto a un falso annuncio di lavoro su LinkedIn.

Secondo The Block, gli hacker si sono infiltrati nel proprietario di Axie Infinity Sky Mavin Network inviando file PDF infetti da spyware a un dipendente, secondo due fonti separate. Quest’uomo pensava di accettare un’offerta di lavoro ben pagata da un’altra azienda, un’azienda che non è mai realmente esistita. Secondo il governo degli Stati Uniti, dietro l’attacco c’era il gruppo di hacker nordcoreano Lazarus.

“I dipendenti sono un bersaglio costante di sofisticati attacchi di spear-phishing su vari canali social e un dipendente è stato compromesso”, ha spiegato Sky Mavis in un post sul blog dopo l’hacking. “Questo dipendente non è più con Sky Mavis. L’aggressore è stato in grado di utilizzare questo accesso per infiltrarsi nell’infrastruttura IT di Sky Mavis e ottenere l’accesso ai nodi di verifica”.

Ottimo esempio di ingegneria sociale

Axie Infinity ha ripreso le operazioni la scorsa settimana ed è ancora basato sulla sidechain Ronin, ma con misure di sicurezza potenziate. La società ha anche aumentato il numero di nodi di convalida a 11 ad aprile dai 9 precedenti, rendendo più difficile per gli hacker controllare la rete. (Lazarus ha avuto accesso a 5 nodi per eseguire questo hack, incluso il nodo Axie DAO.) E implementa anche un sistema di “kill switch” per rilevare i sequestri di grandi dimensioni.

Sebbene questo hack sia stato attentamente pianificato e abbia richiesto molte conoscenze tecniche, si basa ancora una volta su una vulnerabilità classica: l’ingegneria sociale.

Uncategorized
admin

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Forspoken è ancora respinto
The Division Resurgence, l'opera canonica per iOS e Android
Axie Infinity Triangle: cos’è e quale classe è migliore? (spiegazione)

Axie Infinity Triangle: cos’è e quale classe è migliore? (spiegazione)

  • 21 Set 2022
  • 46
Le autorità statunitensi hanno restituito 30 milioni di dollari di criptovaluta rubati da Axie Infinity

Le autorità statunitensi hanno restituito 30 milioni di dollari di criptovaluta rubati da Axie Infinity

  • 12 Set 2022
  • 58
MetaMansion, un’esperienza Playboy coinvolgente e sociale

MetaMansion, un’esperienza Playboy coinvolgente e sociale

  • 12 Lug 2022
  • 71