Раскрыт механизм взлома блокчейна Ronin, в результате которого были украдены не менее $625 миллионов
Ресурс The Block опубликовал материал по результатам журналистского расследования инцидента с блокчейном Ronin, который привёл к крупнейшему криптовалютному взлому в истории — добычей злоумышленников оказались цифровые активы на общую сумму около $625 млн. Основным оружием киберпреступников оказалась социальная инженерия.
В марте 2018 года состоялся релиз игры Axie Infinity, в основе которой лежит сайдчейн Ronin, связанный с основной криптосетью Ethereum. Игра стала очень популярной: на ноябрь прошлого года у неё было 2,7 млн ежедневно активных пользователей, а еженедельный оборот внутриигровых NFT составлял $214 млн. Хотя к настоящему моменту оба показателя существенно снизились.
Как сообщили на условиях анонимности сразу два источника The Block, первым оружием взлома стала социальная инженерия: с сотрудниками вьетнамской студии Sky Mavis, ответственной за разработку Axie Infinity, связались неизвестные, выдававшие себя за представителей некой несуществующей в реальности компании. По одной версии, злоумышленники вышли на связь с разработчиками через профессиональную соцсеть LinkedIn, по другой — через поддельную страницу, выполненную в стилистике платформы.
Инженерам предложили работу с очень высокой зарплатой, и один из старших сотрудников решил попытать счастья и ответил на запрос. Впоследствии Sky Mavis заявила, что этот человек в компании больше не работает. Он прошёл несколько раундов собеседований, после чего ему прислали документ в формате PDF с программой-шпионом, которая позволила злоумышленникам проникнуть в системы Ronin.
Далее хакеры атаковали четыре из девяти валидаторов блокчейна и захватили их криптографические ключи — для проведения транзакции необходимо было получить подтверждение от пяти. Пятым стал ресурс децентрализованной организации Axie DAO, который был подключён к системе в ноябре 2021 года из-за возросшего числа транзакций.
Дальнейших технических сложностей у киберпреступников не было — им оставалось только вывести лишившиеся защиты цифровые активы. Добычей злоумышленников стали 173 тыс. «монет» Ethereum и 25 млн стейблкоинов USDC. На тот момент общая стоимость украденного составляла до $625 млн. Через месяц Sky Mavis доложила, что подняла число валидаторов до 11, но планирует довести их количество до сотни.
Впоследствии ФБР возложило вину за инцидент на хакерские группировки Lazarus Group и APT38, предположительно связанные с властями КНДР. Отмечается, что в этом году число атак на DeFi-системы (децентрализованные финансы) резко возросло: общий ущерб превысил $2 млрд, хотя на 1 января этот показатель составлял $760 млн.