Axie Infinity 被黑事件曝光:背后竟是高级钓鱼攻击
曾以“玩赚”机制走红的NFT宝可梦类游戏《Axie Infinity》,如今因被窃取540万美元的加密货币而声名狼藉。据《The Block》最新报道,安全漏洞的幕后黑手是一场利用LinkedIn的精心钓鱼攻击,这场社会工程手段让人联想到《Mr. Robot》的剧情。
Axie Infinity的兴衰与安全危机
如果你还不熟悉Axie Infinity的故事;开发商Sky Mavis创建了一个以以太坊区块链为基础的侧链——Ronin Network,并在其基础上开发了一款养成对战小怪兽的游戏叫做Axie Infinity。这款游戏借鉴了宝可梦、Neopets和炉石传说等经典游戏的玩法,玩家可以在游戏中赚取以太坊等加密货币,早期曾带来丰厚的利润,吸引大量新玩家投入。可是,今年初平台遇到增长停滞、货币通胀等问题,还遭遇了史上最大规模的加密货币盗窃事件之一。
安全漏洞的内幕:精心设计的钓鱼攻击
4月,Sky Mavis披露,安全漏洞源自一名员工被一个“高级钓鱼攻击”所“劫持”。公司当时表示:“攻击者利用这次入侵,成功渗透了Sky Mavis的IT基础设施,获得了验证节点的控制权限。”
根据《The Block》报道,知情人士透露,这名涉事员工是一位Axie Infinity的高级工程师,攻击者使用一个过于诱人的工作机会欺骗其下载了带有间谍软件的PDF文件,从而得以入侵他们的系统。
黑客如何获得控制权
黑客假扮信用度高的公司,联系该工程师,诱导他申请工作,经过多轮面试,最终提供一份“极具吸引力的高薪职位”。而这个职位的offer包含在一个PDF文件中。工程师下载后,间谍软件开始潜入Ronin网络,黑客成功控制了4个验证节点(共9个)中的4个。第5个节点的权限则通过Axie DAO获得——这是一个由Sky Mavis委托管理的独立组织,曾在Axie Infinity热度最高时协助处理大量交易,但后来公司未及时撤回DAO的访问权限。
区块链的安全与人性弱点
区块链技术的最大优势在于其数据的公开透明和安全性,但事实上,任何坚固的“门”都只有钥匙持有人才能开启。在Axie Infinity的案例中,Sky Mavis员工的疏忽和管理漏洞,被用来弥补平台快速增长带来的短板。为此,Sky Mavis目前已将验证节点数量提升至11个,并未来计划超过100个,以增强安全性。
事故影响与公司应对
公司仍在努力补偿受害者。4月,Sky Mavis又融资1.5亿美元,部分用于弥补玩家损失。同月,联邦调查局(FBI)确认此次攻击的黑客来自“拉撒路组织”,也就是朝鲜黑客集团。FBI还提醒企业,避免误聘朝鲜黑客为远程IT专家,以防类似事件重演。
常见问答
Q: Axie Infinity的安全漏洞是如何发生的?
A: 这是因为一名员工被一个虚假的工作邀请所骗,下载含有间谍软件的PDF文件,黑客通过此入侵公司的系统。
Q: 公司目前采取了哪些措施保障安全?
A: Sky Mavis已将验证节点数量提升至11个,未来计划超过100个,并加强员工管理和安全培训,以防止类似钓鱼攻击再次发生。
