أدى التوظيف الوهمي إلى حادث هاكر كبير في عالم التشفير
أدت تجربة توظيف مهندس أول في Axie Infinity إلى واحدة من أكبر عمليات هاكر في صناعة التشفير. تتعلق هذه الحادثة بإعلان توظيف لشركة وهمية، مما أدى في النهاية إلى فقدان 540 مليون دولار من العملات المشفرة في سلسلة Ronin، وهي سلسلة إيثريوم الخاصة بـ Axie Infinity.
وفقًا للتقارير، في وقت سابق من هذا العام، اتصل شخص يدعي أنه يمثل شركة معينة بموظفي مطور Axie Infinity، Sky Mavis، من خلال منصة التواصل المهني، وشجعهم على التقدم للوظائف. بعد عدة جولات من المقابلات، حصل أحد مهندسي Sky Mavis على عرض مرتفع الأجر. ومع ذلك، تم تقديم هذا العرض في شكل مستند PDF، وكان في الواقع فخًا مصممًا بعناية.
عندما قام المهندس بتنزيل وفتح الوثيقة، نجح برنامج الهاكر في اختراق نظام رونين. ثم هاجم الهاكر وأصبح يتحكم في أربعة من تسعة موثقين على شبكة رونين، على بعد خطوة واحدة فقط من السيطرة الكاملة على الشبكة بأكملها.
اعترفت Sky Mavis في مدونة نشرتها بعد الحادث أن أحد الموظفين قد تعرض للاختراق، حيث استخدم المهاجمون صلاحيات الوصول التي حصلوا عليها لاختراق بنية الشركة التحتية لتكنولوجيا المعلومات، والوصول إلى عقد التحقق. لم يعد هذا الموظف يعمل في الشركة.
تستخدم Ronin نظام "إثبات السلطة" لتوقيع المعاملات، حيث يتم تركيز السلطة في أيدي تسعة من المدققين الموثوق بهم. أوضحت شركة تحليل blockchain Elliptic أنه يمكن تحويل الأموال طالما تم الموافقة من قبل خمسة من المدققين التسعة. تمكن المهاجمون من الحصول بنجاح على المفاتيح الخاصة لخمس مدققين، مما أدى إلى سرقة الأصول المشفرة.
هاكر من خلال إعلانات توظيف مزيفة نجح في اختراق نظام Ronin، وكان بحاجة إلى مصادق إضافي لإكمال السيطرة. كشفت Sky Mavis أن هاكر استغل Axie DAO (منظمة تدعم نظام الألعاب البيئي) لإتمام الهجوم. طلبت Sky Mavis في نوفمبر 2021 مساعدة DAO للتعامل مع أحمال المعاملات الثقيلة، لكنها أوقفت ذلك في ديسمبر 2021 ولم تسحب إذن الوصول إلى قائمة الأذونات.
بعد شهر من حدوث هجوم هاكر، زادت شركة Sky Mavis عدد نقاط التحقق الخاصة بها إلى 11، وأشارت إلى أن الهدف على المدى الطويل هو امتلاك أكثر من 100 نقطة. جمعت الشركة 150 مليون دولار في جولة تمويل لتعويض المستخدمين المتأثرين بالهجوم. كما تم إعادة تشغيل جسر إيثيريوم الخاص بـ Ronin.
حذر خبراء الأمن من أن أساليب الهجوم الهندسي الاجتماعي المماثلة أصبحت شائعة بشكل متزايد في صناعة التشفير. يُنصح الموظفون في الصناعة بالبقاء في حالة تأهب، وإجراء الفحوصات الأمنية اللازمة، وتنفيذ آلية عدم الثقة، والحفاظ على الحماية والتحديثات الفورية للبرامج الأمنية.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 10
أعجبني
10
4
إعادة النشر
مشاركة
تعليق
0/400
RooftopReserver
· 08-09 00:44
ببساطة، لقد امتلأت المنصة بالفعل.
شاهد النسخة الأصليةرد0
RugPullSurvivor
· 08-07 15:34
إنه أمر غريب للغاية، حتى أن الوظائف الوهمية يمكن أن تخترق.
أصبح التوظيف المزيف المصمم بعناية هو المفتاح لكسر قضية هاكر Axie Infinity
أدى التوظيف الوهمي إلى حادث هاكر كبير في عالم التشفير
أدت تجربة توظيف مهندس أول في Axie Infinity إلى واحدة من أكبر عمليات هاكر في صناعة التشفير. تتعلق هذه الحادثة بإعلان توظيف لشركة وهمية، مما أدى في النهاية إلى فقدان 540 مليون دولار من العملات المشفرة في سلسلة Ronin، وهي سلسلة إيثريوم الخاصة بـ Axie Infinity.
وفقًا للتقارير، في وقت سابق من هذا العام، اتصل شخص يدعي أنه يمثل شركة معينة بموظفي مطور Axie Infinity، Sky Mavis، من خلال منصة التواصل المهني، وشجعهم على التقدم للوظائف. بعد عدة جولات من المقابلات، حصل أحد مهندسي Sky Mavis على عرض مرتفع الأجر. ومع ذلك، تم تقديم هذا العرض في شكل مستند PDF، وكان في الواقع فخًا مصممًا بعناية.
عندما قام المهندس بتنزيل وفتح الوثيقة، نجح برنامج الهاكر في اختراق نظام رونين. ثم هاجم الهاكر وأصبح يتحكم في أربعة من تسعة موثقين على شبكة رونين، على بعد خطوة واحدة فقط من السيطرة الكاملة على الشبكة بأكملها.
اعترفت Sky Mavis في مدونة نشرتها بعد الحادث أن أحد الموظفين قد تعرض للاختراق، حيث استخدم المهاجمون صلاحيات الوصول التي حصلوا عليها لاختراق بنية الشركة التحتية لتكنولوجيا المعلومات، والوصول إلى عقد التحقق. لم يعد هذا الموظف يعمل في الشركة.
تستخدم Ronin نظام "إثبات السلطة" لتوقيع المعاملات، حيث يتم تركيز السلطة في أيدي تسعة من المدققين الموثوق بهم. أوضحت شركة تحليل blockchain Elliptic أنه يمكن تحويل الأموال طالما تم الموافقة من قبل خمسة من المدققين التسعة. تمكن المهاجمون من الحصول بنجاح على المفاتيح الخاصة لخمس مدققين، مما أدى إلى سرقة الأصول المشفرة.
هاكر من خلال إعلانات توظيف مزيفة نجح في اختراق نظام Ronin، وكان بحاجة إلى مصادق إضافي لإكمال السيطرة. كشفت Sky Mavis أن هاكر استغل Axie DAO (منظمة تدعم نظام الألعاب البيئي) لإتمام الهجوم. طلبت Sky Mavis في نوفمبر 2021 مساعدة DAO للتعامل مع أحمال المعاملات الثقيلة، لكنها أوقفت ذلك في ديسمبر 2021 ولم تسحب إذن الوصول إلى قائمة الأذونات.
بعد شهر من حدوث هجوم هاكر، زادت شركة Sky Mavis عدد نقاط التحقق الخاصة بها إلى 11، وأشارت إلى أن الهدف على المدى الطويل هو امتلاك أكثر من 100 نقطة. جمعت الشركة 150 مليون دولار في جولة تمويل لتعويض المستخدمين المتأثرين بالهجوم. كما تم إعادة تشغيل جسر إيثيريوم الخاص بـ Ronin.
حذر خبراء الأمن من أن أساليب الهجوم الهندسي الاجتماعي المماثلة أصبحت شائعة بشكل متزايد في صناعة التشفير. يُنصح الموظفون في الصناعة بالبقاء في حالة تأهب، وإجراء الفحوصات الأمنية اللازمة، وتنفيذ آلية عدم الثقة، والحفاظ على الحماية والتحديثات الفورية للبرامج الأمنية.