Sky Mavis ограбили на $540 миллионов в ходе атаки со шпионским ПО

Мы регулярно пишем о том, что если вам обещают золотые горы, то в реальности скорее всего произойдет обратное — опустеет как раз ваш карман. Человеческой жадностью и неосторожностью пользуются и те преступники, которые хотят прибрать к рукам деньги не отдельных людей, а целых компаний — и атакуют их через сотрудников.

Именно это и случилось с блокчейн-системой Ronin Networks, созданной компанией Sky Mavis для поддержки игры Axie Infinity. Сотрудник Sky Mavis скачал PDF-файл со спрятанным в нем шпионским ПО, что привело к одной из крупнейших на сегодняшний день краж криптовалюты: потери компании составили 173 600 ETH и 25,5 миллионов USDC — по курсу на момент инцидента это около $540 миллионов. Рассказываем об атаке подробнее и делимся советами по защите.

Немного об Axie Infinity и Ronin Networks

Axie Infinity — это компьютерная игра, в которой пользователи зарабатывают криптовалюту с помощью фантастических существ «экси»: их можно «разводить», участвовать с ними в соревнованиях и продавать другим игрокам. Для игроков «экси» выглядят как милые зверьки, но по сути они представляют собой «невзаимозаменяемые токены», то есть NFT.

Axie Infinity вышла на рынок в 2018 году и быстро завоевала популярность среди пользователей. На пике развития ее доходность для игроков была так велика, что некоторые жители Юго-Восточной Азии начали зарабатывать себе на жизнь исключительно игрой в Axie Infinity. В рекордном для игры ноябре 2021 года дневная аудитория составила 2,7 миллиона человек, а выручка в прошлом году доходила до $215 миллионов долларов в неделю (впрочем, к лету 2022 года выручка успела опуститься до более скромного миллиона долларов в неделю).

Для расчетов в экосистеме Axie Infinity используется внутриигровая валюта Smooth Love Potion (SLP), построенная на основе блокчейна Ethereum. Чтобы пользователи могли быстро, удобно и без высоких комиссий покупать SLP за свою основную валюту и, наоборот, продавать ее, разработчики игры создали платформу Ronin. Именно она и привлекла внимание злоумышленников.

Заманчивое предложение: как мошенники провели разработчиков

Чтобы добраться до платформы, злоумышленники провели на сотрудников Sky Mavis целевую атаку. Преступники заранее собрали нужную информацию о компании и спланировали схему обмана, которая строилась на фальшивом предложении работы с весьма привлекательной зарплатой.

Задумка злоумышленников сработала: им удалось связаться — вероятнее всего, через LinkedIn — с одним из старших инженеров Axie Infinity, который заинтересовался их щедрым предложением. Он успешно прошел все «этапы отбора» и в итоге, как и положено, получил заветный оффер в виде PDF-файла. Сотрудник скачал документ — и пропустил в сеть компании прятавшуюся в нем шпионскую программу.

Шпион в действии: как удалось вывести средства

Используя зловред, преступники получили доступ к приватным ключам валидаторов сети — то есть узлов, которые проверяют и подтверждают криптовалютные транзакции. Всего таких валидаторов в Ronin Networks на момент атаки было девять, и для осуществления перевода нужно было, чтобы его одобрили хотя бы пять из них. В итоге атакующим удалось скомпрометировать четыре валидатора в самой компании и еще один, пятый, в децентрализованной автономной организации Axie DAO — где его быть не должно было в принципе, если бы не недосмотр со стороны самой Sky Mavis.

Дело в том, что в ноябре 2021 года из-за большого объема транзакций и нагрузки на валидаторы компания разрешила Axie DAO самостоятельно одобрять переводы. Спустя месяц нагрузка уменьшилась, и от помощи Axie DAO отказались — но права на одобрение транзакций не отозвали, что и сыграло на руку киберпреступникам. Проникнув в систему Sky Mavis, хакеры получили доступ и к Axie DAO — она-то и стала тем самым пятым валидатором, которого не хватало, чтобы выводить средства с чужих счетов на свой.

Как отреагировала Sky Mavis

Обнаружив атаку, Sky Mavis поступила ответственно и предприняла шаги по усилению безопасности. Компания привлекла внешних экспертов по информационной безопасности из Verichains и CertiK и провела тщательный аудит Ronin Networks. Кроме того, она увеличила число валидаторов до 11 и пообещала со временем довести его минимум до 100. Чем больше общее количество валидаторов, тем больше их пришлось бы захватить для контроля транзакций, так что увеличение их числа по идее усложнит подобные атаки в будущем.

Поскольку украденные средства фактически принадлежали игрокам Axie Infinity, с 28 июня Sky Mavis начала выплачивать потерпевшим компенсации. Для этого компания задействовала как собственные ресурсы, так и 150 миллионов долларов, полученных в раунде финансирования Binance в начале апреля.

Как защититься

При подготовке к целевым атакам преступники долго и внимательно изучают жертву и бьют по самым уязвимым местам. Ими могут оказаться как дыры в защите устройств и ПО, так и человеческий фактор. «Герой» нашего поста был опытным IT-специалистом, но даже его получилось обмануть. Чтобы избежать похожей участи и сохранить свои данные, деньги и токены, будьте бдительны и не пренебрегайте мерами безопасности:

• Не доверяйте неожиданным и очень выгодным предложениям, будь то работа мечты с огромной зарплатой, призы, наследство незнакомого родственника или другие блага, свалившиеся с неба.
• Не скачивайте файлы и не переходите по ссылкам в письмах и сообщениях от неизвестных вам адресатов. Тем более не делайте этого в офисной сети, если файлы и ссылки не имеют отношения к вашей работе.
• Используйте надежное защитное решение, которое не даст вредоносному вложению запуститься на вашем устройстве.