Hackers robaron $620 millones de Axie Infinity a través de falsas entrevistas de trabajo
El hackeo que causó pérdidas de $620 millones en criptomonedas a Axie Infinity comenzó con una falsa oferta de trabajo de hackers norcoreanos a uno de los desarrolladores del juego.
El ataque ocurrió en marzo de 2022 y derribó el juego de Sky Mavis, entonces enormemente popular y de rápido crecimiento.
Para abril de 2022, el FBI pudo vincular el ataque con los hackers Lazarus y APT38. Estos son dos grupos que a menudo están involucrados en robos de criptomonedas para el gobierno de Corea del Norte.
Informe sobre el incidente
En un informe reciente del sitio web de noticias sobre activos digitales The Block, fuentes con conocimiento sobre el ataque dijeron que los atacantes contactaron al personal de Sky Mavis a través de LinkedIn. Estos se hicieron pasar por una empresa que buscaba contratarlos.
Un ingeniero sénior de Axie Infinity mostró interés en la oferta de trabajo falsa, debido al salario muy generoso, y pasó por varias rondas de entrevistas.
En un momento, el ingeniero recibió un archivo PDF con detalles sobre el trabajo. Sin embargo, el documento fue el camino de los hackers hacia los sistemas Ronin, la cadena lateral vinculada a Ethereum que admite el videojuego en línea basado en tokens no fungibles Axie Infinity.
El empleado descargó y abrió el archivo en la computadora de la empresa. Él inició una cadena de infección que permitió a los ciberdelincuentes penetrar en los sistemas de Ronin y obtener el control de las claves privadas de cuatro nodos validadores de tokens y un validador Axie DAO.
Una clave privada, similar a una contraseña, es un número secreto que se utiliza en la criptografía de la cadena de bloques. Los nodos de validación son computadoras que, juntas, mantienen una red de cadena de bloques, entre otras cosas, validando y procesando transacciones.
Tomando el control de los validadores
Ronin cuenta con el apoyo de nueve validadores, por lo que, al controlar cinco, los atacantes poseían el control mayoritario de la red.
“Los sistemas Axie dependían de una cantidad relativamente pequeña de validadores. Esta no es una práctica típica de las cadenas públicas, aunque vemos esto en cadenas autorizadas similares a Axie”.
Ryan Spanier, vicepresidente de Innovación de Kudelski
El problema no era solo que había muy pocos validadores, sino que esos validadores estaban todos concentrados en un solo lugar. Los validadores no estaban bien distribuidos entre organizaciones independientes.
Esencialmente, tenían un modelo de cadena de bloques descentralizado pero eran vulnerables a un vector de amenazas centralizado.
Con el control de la mayoría, los atacantes pudieron escribir cheques a sí mismos de manera efectiva. Robaron 173,600 Ethereum (ETH) y 25.5 millones de USD Coin (USDC) en total.
Según el informe forense de la empresa, el empleado que fue víctima del ataque de phishing desde entonces ha sido retirado de su fuerza laboral. Sin embargo, el juego aún está lanzando iniciativas de inversión y reinicios técnicos tratando de recuperar su impulso.
El daño financiero fue tan fundamental que Sky Mavis todavía está en proceso de reembolsar a los jugadores que se vieron afectados por el hackeo.
Ofertas de trabajo falsas
Los hackers de Corea del Norte que trabajan para el gobierno se han relacionado con múltiples ataques de criptomonedas a lo largo de los años.
El año pasado, un informe del Theat Analysis Group de Google señaló que un grupo de hackers de Corea del Norte se dirigió a investigadores de seguridad con malware personalizado después de acercarse a ellos a través de varias plataformas, incluido LinkedIn.
A mediados de 2020, los miembros del grupo Lazarus atacaron a empleados de organizaciones de criptomonedas en al menos 14 países utilizando ofertas de trabajo falsas.
A principios de este año, el gobierno de Estados Unidos advirtió que la República Popular Democrática de Corea (RPDC) está enviando trabajadores de informática. El objetivo es obtener trabajos independientes que a veces podrían usarse en ataques respaldados por el estado.
La investigación de Cyphere publicada hace un año mostró lo fácil que era para cualquier persona publicar ofertas de trabajo en nombre de una empresa en LinkedIn.
El FBI advirtió recientemente sobre los peligros de las ofertas de trabajo falsas. La agencia destacó algunos signos comunes de fraude que los usuarios de Internet deben tener en cuenta cuando reciben ofertas de trabajo no solicitadas.