Les fausses offres d'emploi entraînent des événements majeurs de hacking dans l'industrie du chiffrement

Un ingénieur senior d'Axie Infinity a postulé pour un poste apparemment séduisant, sans se douter que cela déclencherait l'une des plus grandes attaques de hacker de l'industrie du chiffrement.

La sidechain Ethereum dédiée à Axie Infinity, Ronin, a été victime d'une attaque de hacker en mars de cette année, entraînant une perte de 540 millions de dollars en chiffrement. Bien que le gouvernement américain ait par la suite lié cet incident à un groupe de hackers nord-coréens, les détails spécifiques de l'opération n'ont pas encore été entièrement révélés.

Selon des sources, cet incident provient d'une fausse annonce de recrutement.

Des sources informées ont révélé qu'au début de cette année, une personne se présentant comme représentant d'une certaine entreprise a contacté des employés de Sky Mavis, le développeur d'Axie Infinity, via un réseau social professionnel, les encourageant à postuler. Après plusieurs tours d'entretiens, un ingénieur de Sky Mavis a reçu une offre d'emploi bien rémunérée.

Ensuite, l'ingénieur a reçu une lettre d'embauche au format PDF. Lors du téléchargement du document, le logiciel de Hacker a réussi à infiltrer le système Ronin. Les hackers ont immédiatement attaqué et contrôlé quatre des neuf validateurs sur le réseau Ronin, n'étant qu'à un pas de la prise de contrôle complète du réseau.

Sky Mavis a déclaré dans un blog publié après les faits : "Nos employés subissent continuellement des attaques de phishing avancées par divers canaux, et l'un de nos employés a malheureusement été touché. Cet employé a quitté l'entreprise. Les attaquants ont utilisé l'accès obtenu pour infiltrer l'infrastructure informatique de l'entreprise et ont ensuite pris le contrôle des nœuds de validation."

Les validateurs remplissent plusieurs fonctions dans la blockchain, telles que la création de blocs de transactions et la mise à jour des données. Ronin utilise un système de "preuve d'autorité" pour la signature des transactions, concentrant le pouvoir entre les mains de neuf validateurs de confiance.

Les agences d'analyse de la blockchain expliquent : "Dès que cinq des neuf validateurs approuvent, les fonds peuvent être transférés. Les attaquants ont réussi à obtenir les clés privées de cinq validateurs, ce qui est suffisant pour voler des actifs chiffrés."

Le Hacker a réussi à infiltrer le système Ronin par le biais de fausses offres d'emploi, contrôlant quatre des neuf validateurs, et il lui faut encore en contrôler un pour prendre le contrôle total.

Sky Mavis a révélé dans son rapport que le Hacker a finalement utilisé Axie DAO (une organisation soutenant l'écosystème du jeu) pour mener l'attaque. Sky Mavis avait demandé l'aide du DAO en novembre dernier pour gérer une charge de transactions lourde.

"Axie DAO a autorisé Sky Mavis à signer divers types de transactions en leur nom. Cette autorisation a été suspendue en décembre dernier, mais la liste d'accès aux permis n'a pas été révoquée, " a expliqué Sky Mavis, "une fois que les hackers pénètrent dans le système de Sky Mavis, ils peuvent obtenir des signatures des validateurs d'Axie DAO."

Un mois après l'attaque, Sky Mavis a augmenté le nombre de nœuds de validation à 11 et a déclaré que l'objectif à long terme est d'avoir plus de 100 nœuds.

Sky Mavis refuse de commenter sur les méthodes spécifiques utilisées par le Hacker.

Sky Mavis a obtenu un financement de 150 millions de dollars début avril pour indemniser les utilisateurs affectés. La société a récemment annoncé qu'elle commencerait à rembourser les utilisateurs le 28 juin. Le pont Ethereum Ronin, qui avait été suspendu en raison d'une attaque de Hacker, a également redémarré la semaine dernière.

Les agences de sécurité ont récemment publié un rapport révélant qu'un certain groupe de hackers abusait des plateformes de réseaux sociaux professionnels et des logiciels de messagerie instantanée, ciblant des entrepreneurs dans le secteur de l'aérospatial et de la défense. Cependant, le rapport ne lie pas cette méthode à l'incident de hacking de Sky Mavis.

D'autres agences de sécurité ont déjà averti en avril qu'un certain groupe de hackers utilise une série d'applications malveillantes pour mener des attaques ciblées contre l'industrie des cryptomonnaies. Ses principaux moyens incluent :

1. Se faire passer pour quelqu'un d'autre sur les réseaux sociaux.
2. Établir des contacts avec les développeurs de l'industrie de la blockchain
3. Créer de faux sites de trading et publier des offres d'emploi pour des travaux en sous-traitance
4. Envoyer des logiciels malveillants contenant un cheval de Troie après avoir gagné la confiance des développeurs

Pour faire face à ce type de menace, les experts en sécurité recommandent :

1. Restez attentif aux informations de sécurité et renforcez votre conscience de la prévention.
2. Effectuer les vérifications de sécurité nécessaires avant d'exécuter le programme exécutable
3. Établir un mécanisme de zéro confiance, réduisant efficacement les risques
4. Gardez le logiciel de sécurité avec protection en temps réel et mettez à jour la base de données des virus en temps utile.