بهذه الطريقة الخبيثة تم قرصنة لعبة الكريبتو Axie Infinity وسرقة أكثر من نصف مليار دولار
هناك معتقد راسخ لدى العديد من المختصين في الأمن السيبراني أن الخطر والثغرة الأمنية الأكثر تهديدا تتعلق بالعنصر البشري وليس بالآلة أو الخوارزمية.
حيث يسعى المخترقون ومن خلال الهندسة الاجتماعية العثور على ثغرة في النظام من خلال استهداف الموظفين والعاملين في البيئة الداخلية للهدف.
بهذه الطريقة الخبيثة تم قرصنة مشروع Axie” Infinity”:
القصة تبدأ عندما تقدم أحد كبار المهندسين في Axie Infinity لطلب وظيفة أثارت اهتمامه لدى شركة أتضح أنها شركة وهمية لتتحول الأمور إلى أحد أكبر عمليات الاختراق في سوق الكريبتو.
خسرت Ronin، وهي شبكة جانبية مرتبطة بالايثيريوم والتي تدعم لعبة Axie Infinity التي تعتمد على اللعب من أجل الربح، 540 مليون دولار من العملات المشفرة في مارس 2022..
في حين ربطت الحكومة الأمريكية الحادث لاحقا بمجموعة قراصنة كوريا الشمالية “Lazarus”، لم يتم الكشف عن التفاصيل الكاملة لكيفية تنفيذ الاستغلال.
لتكشف The Block بعض التفاصيل التي لم تكن معروفة من قبل.
التفاصيل التي سنعرضها تم سردها من قبل شخصين على دراية مباشرة بالأمر، وتم منحهما الوعد بعدم الكشف عن هويتهما بسبب الطبيعة الحساسة للحادث.
مشروع Axie Infinity واحد من المشاريع الضخمة في مجاله.
كان المشروع في ذروته في وقت القرصنة، حيث أتاح المشروع للاعبين في جنوب شرق آسيا القدرة على كسب لقمة العيش من خلال اللعب من أجل الربح.
تفاخرت Axie Infinity بـ 2.7 مليون مستخدم نشط يوميا و 214 مليون دولار من حجم التداول الأسبوعي لـ NFT داخل اللعبة في نوفمبر من العام الماضي، بعدها انخفضت الأرقام منذ ذلك الحين.
في وقت سابق من هذا العام، تم الاتصال بالمطورين في شركة “Axie Infinity Sky Mavis” من قبل أشخاص يزعمون أنهم يمثلون الشركة المزيفة وتم تشجيعهم على التقدم للوظائف، وفقا لأشخاص مطلعين على الأمر.
وأضافت أحد المصادر أن الأساليب تمت من خلال موقع التواصل الاحترافي لينكد إن.
بعد ما وصفه أحد المصادر بأنه جولات متعددة من المقابلات، عُرض على مهندس “Sky Mavis” وظيفة مع راتب سخي للغاية.
تم تسليم العرض المزيف في شكل مستند PDF، قام المهندس بتنزيله مما سمح لبرامج التجسس بالتسلل إلى أنظمة Ronin.
من هناك، كان القراصنة قادرين على مهاجمة والاستيلاء على أربعة من أصل تسعة مصادقين على شبكة Ronin، مما جعلهم تقريبا أمام السيطرة الكاملة على البروتوكول.
في منشور مدونة بعد الاختراق، نُشر في 27 أبريل، جاء بيان شركة “Sky Mavis” التي تقف وراء تطوير لعبة Axie Infinity:
تعرض الموظفون لهجمات تصيد احتيالي متقدمة مستمرة على قنوات اجتماعية مختلفة وتم اختراق أحد الموظفين.
هذا الموظف لم يعد يعمل في Sky Mavis.
تمكن المهاجم من الاستفادة من هذا الوصول لاختراق البنية التحتية لتكنولوجيا المعلومات في Sky Mavis والوصول إلى عقد التحقق.
يؤدي المدققون وظائف مختلفة في شبكات البلوكشين، بما في ذلك إنشاء كتل المعاملات وتحديث البيانات أوراكل.
يستخدم Ronin ما يسمى بنظام إثبات السلطة لتوقيع المعاملات، وتركيز السلطة في أيدي تسعة جهات فاعلة موثوق بها.
يوضح منشور مدونة في أبريل حول الحادث من شركة Elliptic لتحليل البلوكشين:
يمكن نقل الأموال إذا وافق عليها خمسة من المدققين التسعة.
تمكن المهاجم من الحصول على مفاتيح التشفير الخاصة لخمسة من المدققين، وهو ما كان كافيا لسرقة العملات المشفرة.
بعد التسلل الناجح إلى أنظمة Ronin من خلال إعلان الوظيفة الوهمي، كان المتسللون يتحكمون في أربعة فقط من أصل تسعة أدوات تحقق، مما يعني أنهم بحاجة إلى أخرى من أجل السيطرة.
في تقرير ما بعد الحادث، كشفت “Sky Mavis” أن المتسللين تمكنوا من استخدام “Axie DAO” (منظمة مستقلة لامركزية) لإكمال السرقة.
طلبت Sky Mavis من DAO المساعدة في التعامل مع عبء المعاملات الثقيل في نوفمبر 2021.
في وقت سابق سمحت Axie DAO لشركة Sky Mavis بتوقيع العديد من المعاملات نيابة عنها.
تم إيقاف هذا في ديسمبر 2021، ولكن لم يتم إلغاء الوصول إلى القائمة المسموح بها،
قالت Sky Mavis في منشور المدونة:
بمجرد وصول المهاجمون إلى أنظمة Sky Mavis، تمكنوا بعدها من الحصول على التوقيع من مدققي Axie DAO.
بعد شهر من الاختراق، زادت Sky Mavis عدد عقد التحقق الخاصة بها إلى 11، وقالت في منشور المدونة أن هدفها طويل المدى هو الحصول على أكثر من 100 عقدة.
رفضت Sky Mavis التعليق على كيفية تنفيذ الاختراق.
في وقت سابق، نشرت “ESET Research” تحقيقا أظهر أن قراصنة Lazarus في كوريا الشمالية أساؤو استخدام الشبكات الاجتماعية لينكد ان وواتساب واستغلالها لصالحهم البشع.
تسارع معدل اختراق مشاريع التمويل اللامركزي DeFi بسرعة هذا العام، حيث تجاوز 2 مليار دولار من إجمالي الأموال المفقودة، وفقا لبيانات The Block Research.
اقرأ أيضا:
منصة Bitstamp تتراجع عن قرار فرض رسوم شهرية على الحسابات غير النشطة