Axie Infinity: hack muito complicado via falsa oferta de emprego no LinkedIn
O hack do Axie Infinity foi devido a uma postagem falsa de emprego no LinkedIn. Um grande exemplo de engenharia social.
Axie Infinity foi um exemplo importante no mercado de jogos criptográficos no ano passado, com uma fórmula “jogar para ganhar” atingindo pelo menos 2,7 milhões de jogadores ativos diariamente em novembro passado. Mas tudo isso desabou em março, quando hackers roubaram o equivalente a US$ 625 milhões da sidechain Ronin, vinculada ao Ethereum, na qual o jogo é baseado.
O hack do Axie Infinity foi devido a uma postagem falsa de emprego no LinkedIn.
De acordo com o The Block, os hackers se infiltraram no proprietário da Axie Infinity Sky Mavin Network enviando arquivos PDF infectados por spyware para um funcionário, de acordo com duas fontes distintas. Esse homem achou que estava aceitando uma oferta de emprego bem remunerada de outra empresa, uma empresa que nunca existiu de verdade. Segundo o governo dos EUA, o grupo de hackers norte-coreano Lazarus estava por trás do ataque.
“Os funcionários são um alvo constante de sofisticados ataques de spear phishing em vários canais sociais, e um funcionário foi comprometido”, explicou Sky Mavis em um post de blog após o hack. “Este funcionário não está mais na Sky Mavis. O invasor conseguiu usar esse acesso para se infiltrar na infraestrutura de TI da Sky Mavis e obter acesso aos nós de verificação.”
Grande exemplo de engenharia social
O Axie Infinity retomou as operações na semana passada e ainda é baseado no sidechain Ronin, mas com medidas de segurança aprimoradas. A empresa também aumentou o número de nós de validação para 11 em abril, de 9 antes, tornando mais difícil para os hackers controlar a rede. (Lazarus acessou 5 nós para executar este hack, incluindo o nó Axie DAO.) E também implementa um sistema de “interruptor de interrupção” para detectar grandes convulsões.
Embora esse hack tenha sido cuidadosamente planejado e exigisse muito conhecimento técnico, ele é novamente baseado em uma vulnerabilidade clássica: a engenharia social.
Deixe um comentário