750億円ハッキング盗難事件の手口として「偽の求人」が使われていた

プレイするだけで稼げる「P2E(Play to Earn)ゲーム」として人気を博す「Axie Infinity」で利用されているサイドチェーンから750億円超が盗まれた手口として、ビジネスSNS・LinkedInを用いた偽の求人が利用されたことが明らかになりました。

How a fake job offer took down the world’s most popular crypto game
https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game

Elaborate hack of 'Axie Infinity' tied to fake LinkedIn job offer | Engadget
https://www.engadget.com/axie-infinity-blockchain-hack-fake-job-offer-210017305.html

仮想通貨関連で最大規模のハッキングと表現されているこの事件は、北朝鮮のサイバー犯罪グループの関与が明らかになっていますが、どのように実行されたものか詳細は明らかになっていませんでした。

ニュースサイト・The Blockが事情通2名から得た情報によると、「Axie Infinity」を開発するSky Mavisのスタッフのもとに2022年初旬、LinkedIn経由で高額な仕事のオファーがありました。ところが、実際にはこのオファーを行った会社は存在せず、オファーとして届いたPDFファイルにはスパイウェアが仕込まれており、攻撃者がネットワークに侵入。サイドチェーン・Roninネットワーク上の9つのバリデーターのうち4つが乗っ取られました。

完全に制御するためには5つ乗っ取る必要があったため、この時点では攻撃は不十分だったといえますが、ハッカーはゲームのエコシステムをサポートするために作られたAxie DAO(分散型自律組織)からもアクセスすることで強盗行為を完遂したとのこと。

ハッキングを受けて、Sky Mavisはバリデーターノードの数を11に増やし、長期的には100を目標とすることを表明。また、大規模な引き出しがあったときに対応するサーキットブレーカー機能も実装しています。