从日入1500万美元到崩盘一份虚假招聘让Axie Infinity损失6亿美元

币圈吴彦祖 • 2022年7月8日 pm12:02 • 币圈新闻 • 阅读 6

去年 8 月，主打边玩边赚（Play-to-Earn）模式的《Axie Infinity》可谓是风头无两。这款受宝可梦启发的游戏每天为开发商 Sky Mavis 带来超过 1500 万美元的收入，而东南亚的一些玩家也通过这款游戏赚取了足够多的加密货币。

从日入1500万美元到崩盘一份虚假招聘让Axie Infinity损失6亿美元

只是在过去短短 11 个月间，这种情况发生了翻天覆地的变化。Axie NFTs 和游戏中的 Smooth Love Potion 加密货币的价格已经崩溃了。原因有很多，但其中一个最重要的原因是 3 月份发生的黑客攻击。

一名黑客成功利用 Axie Infinity 使用的 Ronin 区块链，盗取了价值 6.2 亿美元的加密货币。Sky Mavis 之前说这是通过一个网络钓鱼计划实现的，美国政府表示本次攻击是由黑客组织 Lazarus 发起的。

在本周三发布的一份报告中，The Block 详细介绍了这次黑客攻击是如何通过社会工程实现的。

援引熟悉此事的消息来源报道，一名高级 Sky Mavis 工程师被 LinkedIn 上的“招聘人员”盯上，他们希望将他签到他们的公司。招聘过程包括几次面试，最后通过 PDF 发送了一份工作邀请。然而，该公司并不存在--而且该 PDF 文件中夹杂着间谍软件。

Ronin是一个权力证明区块链，这意味着对网络的控制权交给了亲自挑选的验证者。在黑客事件发生时，Axie Infinity有九个验证者。坏人要控制Ronin，他们需要控制这九个验证人中的五个。

对于一个坏的行为者来说，要完全控制使用工作证明的比特币区块链，他们将需要世界上每个比特币矿工所使用的 51% 的电力。虽然比特币被设计成不惜一切代价的安全，但 Ronin 的唯一目的是为 Axie Infinity 玩家提供廉价、快速的交易。

Axie Infinity看到玩家与Axie怪物战斗和繁殖，这些怪物是作为NFT拥有的。在高峰期，最底层的Axies每只售价超过300美元。现在它们的价格要低得多 -- 阿克塞斯的售价通常低于10美元。

据 The Block 报道，封装在该 PDF 中的间谍软件使黑客能够控制 Ronin 的九个验证器中的四个。黑客随后获得了社区运行的 Axie DAO 的访问权，它可以访问另外一个验证器。一旦他们控制了网络，黑客就把 Axie Infinity 的 2500 万美元的 USDC 稳定币和 173,600 个以太坊的库房榨干。在以太坊价格大幅下跌后，现在盗取的总价值为 2.29 亿美元。

记者联系了Sky Mavis寻求评论，但没有立即回应。在 4 月份的事后总结中，Axie 团队写道：“Sky Mavis的员工在各种社会渠道上不断受到高级鱼叉式钓鱼攻击，有一名员工被攻破。这名员工已不在Sky Mavis工作。攻击者成功地利用这一权限渗透到Sky Mavis的IT基础设施，并获得了对验证器节点的访问权”。

原创文章，作者：币圈吴彦祖，如若转载，请注明出处：https://www.kaixuan.pro/news/392228/