2022年7月7日TheBlock披露,2022年3月以太坊侧链Ronin被盗5.4亿美元的原因,居然是AxieInfinity一位工程师收到的黑客组织伪装的招聘公司提供的假Offer。
以下为TheBlock报道:
Ronin是支持游戏赚钱游戏AxieInfinity的与以太坊相关的侧链,在3月份的一次漏洞利用中损失了5.4亿美元的加密货币。虽然美国政府后来将此事件与朝鲜黑客组织Lazarus联系起来,但尚未披露有关如何执行该漏洞的全部细节。
TheBlock揭示是一个虚假的招聘Offer摧毁了Ronin。
金色晚报 | 11月12日晚间重要动态一览:12:00-21:30关键词:俄罗斯财政部、BitMEX、比特币UTXO、德意志银行报告、A16Z
1. 俄罗斯财政部将放宽加密税收报告要求。
2. BitMEX和Eventus Systems达成合作,增强其贸易监督和反交易能力。
3. 数据:比特币UTXO利润比例超过98%,利润达到1.1亿。
4. 德意志银行报告:长远来看央行数字货币将取代现金。
5. 以色列区块链公司Kirobo为以太坊交易提供“撤销”功能。
6. 数据:拥有1万枚以上比特币的钱包数量创2020年新高。
7. Messari报告:就风险调整后的收益而言,比特币的表现优于全球最大的对冲基金。
8. 比特币11月11日在656477区块高度出现废区块。
9. Ripple首席执行官:比特币控股公司将受到拜登政府的审查。
10. A16Z支持的工资支付平台Deel宣布支持比特币、以太坊和瑞波币。[2020/11/12 14:09:02]
据两名直接了解此事的人士称,AxieInfinity的一名高级工程师被申请了一家实际上并不存在的公司的工作。由于事件敏感性,他们不愿透露姓名。
金色晚报 | 5月18日晚间重要动态一览:12:00-21:00关键词:国务院、BitMEX、蚂蚁区块链、Schlesi测试网
1.国务院《推进计划》提出:促进区块链等新技术在版权保护领域的应用。
2.韩国央行:将在数字货币试验中运用去中心化技术。
3.美国地方法院提起新诉讼 BitMEX再陷法律纠纷。
4.Bakkt已为逾70名客户提供托管服务 保险提升至6亿美元。
5.蚂蚁区块链与e签宝打造的区块链合同正式亮相。
6.以太坊核心开发人员:Schlesi测试网已分叉。
7.国内首个区块链招投标平台已正式上线。
8.马斯克:不信比特币 但至少比美金靠谱。
9.FMex社区重启公投结果出炉:将对交易平台进行重启并恢复正常商业运营。
10.比特币小幅回落,日内最高报9949美元,最低报9480美元。[2020/5/18]
AxieInfinity在鼎盛时期,东南亚工人甚至能够通过“边玩边赚”游戏谋生。去年11月,它的游戏内NFT拥有270日活跃用户和2.14亿美元的每周交易量——尽管此后这两个数字都大幅下降。
金色财经数据播报 各概念板块普跌:根据行情数据显示,主流币种今日价格普跌,各概念板块价格也出现不同程度的下跌。其中物联网板块跌幅最大,跌幅达6.01%;2018世界杯板块居次席,跌幅达5.74%;市场预测板块跌幅达4.53%。资产交易板块、数据经济板块、基于DAG板块、内容版权板块、超级算力板块、游戏概念板块、平台币等板块也均出现了下跌,跌幅均超过3%。[2018/5/22]
据知情人士透露,今年早些时候,声称代表这家假公司的人联系了AxieInfinity开发商SkyMavis的员工,并鼓励他们申请工作。一位消息人士补充说,这些方法是通过专业网站LinkedIn进行的。
一位消息人士称,经过多轮面试后,SkyMavis的一名工程师获得了一份薪酬极其丰厚的工作。
伪造的“Offer”以PDF文档形式提供,工程师下载了该文档——这让间谍软件渗透到Ronin系统。从那里,黑客能够攻击并接管Ronin网络上九个验证者中的四个,他们再有一个验证者就可以完全控制Ronin桥。
在4月27日发布的关于黑客攻击的事后博客文章中,SkyMavis说:“员工不断受到各种社交渠道的高级钓鱼式网络钓鱼攻击,一名员工遭到入侵。该员工不再在SkyMavis工作。攻击者设法利用该访问权限来渗透SkyMavisIT基础设施并获得对验证节点的访问权限。”
验证者在区块链中完成各种功能,包括创建交易块和更新数据预言机。Ronin使用所谓的“权威证明”系统来签署交易,将权力集中在九个受信任的参与者手中。
区块链分析公司Elliptic在4月份就该事件发表的一篇博客文章解释说:“如果九个验证者中有五个批准,则可以将资金转出。攻击者设法获得了属于五个验证者的私钥,这足以窃取加密资产。”
但在通过虚假招聘广告成功渗透到Ronin系统后,黑客只控制了九个验证者中的四个——这意味着他们需要另一个验证者来控制。
SkyMavis在其复盘报告中透露,黑客设法使用AxieDAO——一个为支持游戏生态系统而设立的组织——来完成攻击。SkyMavis曾在2021年11月请求DAO帮助处理繁重的交易负载。
“AxieDAO允许SkyMavis代表其签署各种交易。这已于2021年12月停止,但未撤销许可名单访问权限,”SkyMavis在博客文章中说。“一旦攻击者能够访问SkyMavis系统,他们就能够从AxieDAO验证者中获取签名。”
黑客攻击一个月后,SkyMavis将其验证节点的数量增加到11个,并在博客文章中表示,其长期目标是拥有100多个。?
SkyMavis拒绝评论黑客是如何进行的。Linkin没有回应置评请求。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。