去年 8 月,主打边玩边赚(Play-to-Earn)模式的《Axie Infinity》可谓是风头无两。这款受宝可梦启发的游戏每天为开发商 Sky Mavis 带来超过 1500 万美元的收入,而东南亚的一些玩家也通过这款游戏赚取了足够多的加密货币。 只是在过去短短 11 个月间,这种情况发生了翻天覆地的变化。Axie NFTs 和游戏中的 Smooth Love Potion 加密货币的价格已经崩溃了。原因有很多,但其中一个最重要的原因是 3 月份发生的黑客攻击。 一名黑客成功利用 Axie Infinity 使用的 Ronin 区块链,盗取了价值 6.2 亿美元的加密货币。Sky Mavis 之前说这是通过一个网络钓鱼计划实现的,美国政府表示本次攻击是由黑客组织 Lazarus 发起的。 在本周三发布的一份报告中,The Block 详细介绍了这次黑客攻击是如何通过社会工程实现的。 援引熟悉此事的消息来源报道,一名高级 Sky Mavis 工程师被 LinkedIn 上的“招聘人员”盯上,他们希望将他签到他们的公司。招聘过程包括几次面试,最后通过 PDF 发送了一份工作邀请。然而,该公司并不存在--而且该 PDF 文件中夹杂着间谍软件。 Ronin是一个权力证明区块链,这意味着对网络的控制权交给了亲自挑选的验证者。在黑客事件发生时,Axie Infinity有九个验证者。坏人要控制Ronin,他们需要控制这九个验证人中的五个。 对于一个坏的行为者来说,要完全控制使用工作证明的比特币区块链,他们将需要世界上每个比特币矿工所使用的 51% 的电力。虽然比特币被设计成不惜一切代价的安全,但 Ronin 的唯一目的是为 Axie Infinity 玩家提供廉价、快速的交易。 Axie Infinity看到玩家与Axie怪物战斗和繁殖,这些怪物是作为NFT拥有的。在高峰期,最底层的Axies每只售价超过300美元。现在它们的价格要低得多 -- 阿克塞斯的售价通常低于10美元。 据 The Block 报道,封装在该 PDF 中的间谍软件使黑客能够控制 Ronin 的九个验证器中的四个。黑客随后获得了社区运行的 Axie DAO 的访问权,它可以访问另外一个验证器。一旦他们控制了网络,黑客就把 Axie Infinity 的 2500 万美元的 USDC 稳定币和 173,600 个以太坊的库房榨干。在以太坊价格大幅下跌后,现在盗取的总价值为 2.29 亿美元。 记者联系了Sky Mavis寻求评论,但没有立即回应。在 4 月份的事后总结中,Axie 团队写道:“Sky Mavis的员工在各种社会渠道上不断受到高级鱼叉式钓鱼攻击,有一名员工被攻破。这名员工已不在Sky Mavis工作。攻击者成功地利用这一权限渗透到Sky Mavis的IT基础设施,并获得了对验证器节点的访问权”。
