ที่ผ่านมาเราอาจะไม่เคยเห็นการสมัครงานที่ส่งผลกระทบย้อนกลับต่อบริษัทใหญ่ แต่นี่ไม่ใช่กับ Axie Infinity เมื่อวิศวกรอาวุโสรายหนึ่งของ Axie Infinity ได้เผลอเข้าไปสมัครทำงานในบริษัทปลอมซึ่งนำไปสู่การแฮกครั้งใหญ่ที่สุดครั้งหนึ่งของวงการ GameFi
Ronin ซึ่งเป็น sidechain ที่เชื่อมโยงกับ Ethereum ได้สนับสนุนเกม Axie Infinity ในฐานะ GameFi ที่สูญเสีย crypto มูลค่า 540 ล้านดอลลาร์ไปจากช่องโหว่ในเดือนมีนาคม ในขณะที่รัฐบาลสหรัฐฯเชื่อมโยงเหตุการณ์นี้กับกลุ่มแฮ็คเกอร์ชาวเกาหลีเหนือ Lazarus ในภายหลัง แต่ก็ยังคงไม่มีผลเปิดเผยต่อสาธารณะ
จากข้อมูลของคนสองคนที่มีความรู้โดยตรงในเรื่องนี้ ซึ่งได้รับการเปิดเผยชื่อเนื่องจากลักษณะที่ละเอียดอ่อนของเหตุการณ์ วิศวกรอาวุโสของ Axie Infinity ถูกหลอกให้สมัครงานในบริษัทปลอม
Axie Infinity ได้ก้าวมาถึงจุดสูงสุดเมื่อนักลงทุนในเอเชียตะวันออกเฉียงใต้สามารถหาเลี้ยงชีพได้ด้วยการเล่นเกม โดยที่ผ่านมามีผู้ใช้งานรายวันแตะ 2.7 ล้านคนและ ปริมาณการซื้อขายรายสัปดาห์ 214 ล้านดอลลาร์ก่อนที่ตัวเลขดังกล่าวจะร่วงลงอย่างต่อเนื่องในปี 2022
เมื่อต้นปีนี้ พนักงานของ Sky Mavis ผู้พัฒนา Axie Infinity ได้รับการติดต่อจากตัวแทนของบริษัทปลอมและสนับสนุนให้สมัครงานตามที่ผู้คนคุ้นเคยกับเรื่องนี้ แหล่งข่าวรายหนึ่งเสริมว่าแนวทางดังกล่าวทำผ่านเว็บไซต์เครือข่ายมืออาชีพ LinkedIn
หลังจากที่แหล่งข่าวรายหนึ่งอธิบายว่าเป็นการสัมภาษณ์หลายรอบ วิศวกรของ Sky Mavis ก็ได้รับการเสนองานด้วยค่าตอบแทนสูงพร้อมทั้งยังเสนอให้เขาสามารถทำงานพร้อมกันหลายที่ได้อีกด้วย
“ข้อเสนอ” ปลอมถูกส่งมาในรูปแบบของเอกสาร PDF ในขณะที่วิศวกรก็พลาดดาวน์โหลดไฟล์มาเปิดก็ทำให้สปายแวร์สามารถแทรกซึมระบบของ Ronin ได้ จากจุดนั้นแฮกเกอร์สามารถโจมตีและเข้าควบคุม node validation ถึง 4 ใน 9 รายบนเครือข่าย Ronin ได้
ในบล็อกโพสต์การพิสูจน์กิจกรรมดังกล่าวของแฮกเกอร์ถูกเผยแพร่เมื่อวันที่ 27 เมษายน Sky Mavis กล่าวว่า
“พนักงานอยู่ภายใต้การโจมตีแบบ phishing ขั้นสูงอย่างต่อเนื่องในช่องทางโซเชียลต่าง ๆ และพนักงานคนหนึ่งถูกบุกรุก ซึ่งปัจจุบันพนักงานคนนี้ไม่ได้ทำงานที่ Sky Mavis แล้ว แต่ผู้โจมตีสามารถใช้ประโยชน์จากการเข้าถึงดังกล่าวเพื่อเจาะโครงสร้างพื้นฐานด้านไอทีของ Sky Mavis และเข้าถึงโหนดตรวจสอบความถูกต้องได้”
ที่ผ่านมา Ronin ได้ใช้เครื่องมือที่จะทำหน้าที่ต่าง ๆ ในบล็อกเชน รวมถึงการสร้างบล็อกธุรกรรมและการอัปเดตออราเคิลข้อมูลบน Ronin ซึ่งถูกที่เรียกว่า “หลักฐานการมอบอำนาจ” ในการลงนามในการทำธุรกรรม โดยรวมอำนาจไว้ในมือของวิศวะที่ไว้ใจได้ 9 คน
“กองทุนสามารถย้ายออกได้หากผู้ตรวจสอบความถูกต้อง 5 ใน 9 คนอนุมัติ ทั้งนี้แฮกเกอร์สามารถจับ private key ที่เป็นของผู้ตรวจสอบความถูกต้อง 5 คน ซึ่งเพียงพอที่จะขโมยสินทรัพย์ดิจิทัลได้”
แต่หลังจากประสบความสำเร็จในการแทรกซึมระบบของ Ronin ผ่านโฆษณางานปลอม แฮกเกอร์สามารถควบคุมผู้ตรวจสอบความถูกต้องได้เพียง 4 ใน 9 ซึ่งหมายความว่าพวกเขาต้องการอีกเครื่องหนึ่งเพื่อควบคุม
ทั้งนี้ตามรายงานได้เปิดเผยว่าแฮกเกอร์สามารถใช้ Axie DAO (Decentralized Autonomous Organisation) ซึ่งเป็นกลุ่มที่จัดตั้งขึ้นเพื่อสนับสนุนระบบนิเวศของเกมเพื่อให้การขโมยสินทรัพย์ดิจิทัลสำเร็จไปอย่างลุล่วง
“Axie DAO อนุญาตให้ Sky Mavis ลงนามในธุรกรรมต่างๆ ในนามของตน สิ่งนี้ถูกยกเลิกในเดือนธันวาคม 2021 แต่การเข้าถึงรายการที่อนุญาตไม่ถูกเพิกถอน และเมื่อแฮกเกอร์เข้าถึงระบบของ Sky Mavis พวกเขาก็สามารถได้รับลายเซ็นจากตัวตรวจสอบ Axie DAO”
หลังจากระยะเวลาผ่านมา 1 เดือนหลังจากการแฮก Sky Mavis Ronin ได้เพิ่มจำนวนโหนดตรวจสอบเป็น 11 พร้อมกล่าวว่าพวกเขาตั้งใจที่จะเพิ่มขึ้นเป็น 100 โหนดในอนาคต
ทั้งนี้ Sky Mavis ปฏิเสธที่จะแสดงความคิดเห็นเกี่ยวกับวิธีการแฮก เนื่องจากเขาได้รับข้อความบน LinkedIn จำนวนมากกว่าหลายร้อยรายการ
ก่อนหน้านี้ ESET Research ได้ตีพิมพ์ผลการสอบสวนที่แสดงให้เห็นว่า Lazarus ของเกาหลีเหนือใช้ LinkedIn และ WhatsApp ในทางที่ผิดโดยปลอมเป็นนายหน้าเพื่อกำหนดเป้าหมายไปยังผู้รับเหมาด้านการบินและอวกาศและการป้องกันประเทศ แต่รายงานไม่ได้ผูกเทคนิคนั้นกับแฮก Sky Mavis
ที่ผ่านมา Sky Mavis ระดมทุน 150 ล้านดอลลาร์และเงินที่ได้มาจะถูกนำไปใช้ควบคู่ไปกับเงินทุนของบริษัทเพื่อชดใช้ผู้ใช้ที่ได้รับผลกระทบจากช่องโหว่ดังกล่าว แต่บริษัทกล่าวเมื่อเร็ว ๆ นี้ว่า จะเริ่มคืนเงินให้กับผู้ใช้ที่ได้รับผลกระทบในวันที่ 28 มิถุนายนหลังจากระบบหยุดกะทันหันในขณะที่มีการแฮกเกิดขึ้น
อย่างไรก็ตามอัตราการแฮก DeFi ได้เร่งตัวขึ้นอย่างรวดเร็วในปีนี้ โดยมีมูลค่าสูงถึง 2 พันล้านดอลลาร์ตาม ข้อมูลของ The Block Research