黑客通過虛假招聘網絡釣魚竊取了5.4億美元加密貨幣

今年3月，有黑客從區塊鏈游戲Axie Infinity的Ronin網橋上竊取了價值約5.4億美元的173600個以太幣和2550萬USDC。據悉，此盜竊案的源頭是Axie Infinity的一名高級工程師遭到了網絡釣魚攻擊。

據知情人士透露，Axie Infinity開發商Sky Mavis的一名工程師在知名招聘網站領英LinkedIn上尋找工作時，一家公司給他發送了面試邀請，在多輪面試后，該工程師被以一份非常優渥的薪酬待遇錄用。

但事實上，該公司并不真實存在，而是黑客偽造的。當該名工程師下載并打開虛假“錄用通知”后，惡意軟件便滲透到了Ronin的系統，從而使得黑客能夠攻擊并接管Ronin網絡上九個驗證器中的四個。

驗證器在區塊鏈中可實現各種功能，Ronin使用一種 “權威證明”系統來簽署交易。區塊鏈分析公司Elliptic在四月份的一篇關于此事件的博客中解釋說：“如果九個驗證器中有五個批準，資金就可以轉移出去。攻擊者設法掌握了五個驗證器的私鑰，這足以竊取加密資產。”

Ronin Network官方確信這是一次外部違規行為，聲稱所有證據都表明，這次攻擊是社會工程導致的，而不是技術缺陷。Ronin Network在事后分析公告上寫道：

Sky Mavis員工在各種社交渠道上不斷受到高級魚叉式網絡釣魚攻擊，有一名員工遭到了入侵。這名員工已不再在Sky Mavis工作。攻擊者設法利用該訪問權限滲透Sky Mavis IT基礎設施并獲得了對驗證器節點的訪問權限。

長期以來，虛假的工作機會一直是惡意軟件團伙的社會工程學誘餌之一，大家也要多加小心。

資訊來源：roninblockchain

轉載請注明出處和本文鏈接

每日漲知識

風險控制

指風險管理者采取各種措施和方法，消滅或減少風險事件發生的各種可能性，或風險控制者減少風險事件發生時造成的損失。