# 暗号化業界最大のハッカー攻撃の一つを暴露:偽の求人が引き起こしたセキュリティの脆弱性最近、注目すべき事件が暗号化通貨業界を震撼させました。Axie Infinity ゲームの専用イーサリアムサイドチェーンである Ronin が大規模なハッカー攻撃を受け、5.4 億ドル相当の暗号化通貨を失いました。この攻撃は規模が大きいだけでなく、その手法も独特で、架空の会社の偽の求人広告が関与しています。報道によると、今年の初め、ある会社を名乗る人物が職業用ソーシャルネットワークを通じてAxie Infinityの開発者Sky Mavisの従業員に連絡し、彼らを採用するよう招待しました。何度かの面接を経て、1人のSky Mavisのエンジニアが高報酬の仕事の機会を得ました。しかし、この仕事のオファーは実際には巧妙に設計された罠でした。エンジニアはPDF形式の入学通知書を受け取りました。そのドキュメントをダウンロードする際に、ハッカーソフトウェアが静かにRoninのシステムに侵入しました。ハッカーはその後、Roninネットワーク上の9つのバリデーターのうち4つを成功裏に制御し、ネットワーク全体を完全に掌握するまであと一歩のところまで来ました。Sky Mavisは事後の声明で、1人の従業員が実際に侵害を受けたことを認めました。攻撃者は取得したアクセス権を利用して、会社のITインフラに侵入し、検証ノードの制御権を取得しました。Roninは「権威証明」システムを採用して取引に署名し、権力を9人の信頼できる検証者に集中させています。ブロックチェーン分析会社Ellipticは、5人の検証者が承認すれば資金を移動できると説明しています。攻撃者は最終的に5人の検証者の秘密鍵を取得し、暗号資産を盗むことができました。注目すべきは、ハッカーが偽の求人広告を通じて4つのバリデーターを制御しただけで、攻撃を完了するには追加のバリデーターが1つ必要だったことです。Sky Mavisは報告の中で、ハッカーがAxie DAO(ゲームエコシステムを支える組織)を利用して攻撃を完了したことを明らかにしました。実は、Sky Mavisは2021年11月にDAOに対して負荷の高い取引処理の支援を依頼しましたが、12月に停止した後、許可リストへのアクセス権を取り消しませんでした。攻撃者はこの不手際を利用して、Axie DAOのバリデーターから必要な署名を取得しました。このイベントに対応するため、Sky Mavisは複数の措置を講じました。彼らは検証ノードの数を11に増やし、長期的には100以上に拡大する計画です。会社はまた、影響を受けたユーザーへの補償のために1.5億ドルの資金を調達しました。Roninのイーサリアムブリッジも再起動され、会社は6月末までにユーザーへの返金を開始することを約束しました。この事件は再び暗号化通貨業界が直面しているセキュリティ脅威を浮き彫りにしました。ある研究によると、特定のハッカー組織が職業的なソーシャルプラットフォームや即時通信ソフトウェアを悪用し、複数の業界を標的にしてネットワーク攻撃を行っていることが示されています。したがって、業界関係者は警戒を強化し、セキュリティ意識を高める必要があります。これに対して、セキュリティ専門家は次のように提案しています:1. 国内外の脅威インテリジェンスプラットフォームの安全情報に密接に注目し、自己検査を行う。2. 実行可能なプログラムを実行する前に、必ず必要なセキュリティチェックを行ってください。3. ゼロトラストメカニズムを実施し、関連する脅威リスクを効果的に低減する。4. セキュリティソフトウェアのリアルタイム保護を有効にし、ウイルス定義を適時更新してください。この事件は間違いなく、全体の暗号化通貨業界に警鐘を鳴らし、私たちが革新を追求する一方で、常に潜在的なセキュリティリスクに警戒する必要があることを思い出させます。
Axie Infinityが5.4億ドルのハッカー攻撃を受け、偽の求人が突破口となった
暗号化業界最大のハッカー攻撃の一つを暴露:偽の求人が引き起こしたセキュリティの脆弱性
最近、注目すべき事件が暗号化通貨業界を震撼させました。Axie Infinity ゲームの専用イーサリアムサイドチェーンである Ronin が大規模なハッカー攻撃を受け、5.4 億ドル相当の暗号化通貨を失いました。この攻撃は規模が大きいだけでなく、その手法も独特で、架空の会社の偽の求人広告が関与しています。
報道によると、今年の初め、ある会社を名乗る人物が職業用ソーシャルネットワークを通じてAxie Infinityの開発者Sky Mavisの従業員に連絡し、彼らを採用するよう招待しました。何度かの面接を経て、1人のSky Mavisのエンジニアが高報酬の仕事の機会を得ました。しかし、この仕事のオファーは実際には巧妙に設計された罠でした。
エンジニアはPDF形式の入学通知書を受け取りました。そのドキュメントをダウンロードする際に、ハッカーソフトウェアが静かにRoninのシステムに侵入しました。ハッカーはその後、Roninネットワーク上の9つのバリデーターのうち4つを成功裏に制御し、ネットワーク全体を完全に掌握するまであと一歩のところまで来ました。
Sky Mavisは事後の声明で、1人の従業員が実際に侵害を受けたことを認めました。攻撃者は取得したアクセス権を利用して、会社のITインフラに侵入し、検証ノードの制御権を取得しました。
Roninは「権威証明」システムを採用して取引に署名し、権力を9人の信頼できる検証者に集中させています。ブロックチェーン分析会社Ellipticは、5人の検証者が承認すれば資金を移動できると説明しています。攻撃者は最終的に5人の検証者の秘密鍵を取得し、暗号資産を盗むことができました。
注目すべきは、ハッカーが偽の求人広告を通じて4つのバリデーターを制御しただけで、攻撃を完了するには追加のバリデーターが1つ必要だったことです。Sky Mavisは報告の中で、ハッカーがAxie DAO(ゲームエコシステムを支える組織)を利用して攻撃を完了したことを明らかにしました。実は、Sky Mavisは2021年11月にDAOに対して負荷の高い取引処理の支援を依頼しましたが、12月に停止した後、許可リストへのアクセス権を取り消しませんでした。攻撃者はこの不手際を利用して、Axie DAOのバリデーターから必要な署名を取得しました。
このイベントに対応するため、Sky Mavisは複数の措置を講じました。彼らは検証ノードの数を11に増やし、長期的には100以上に拡大する計画です。会社はまた、影響を受けたユーザーへの補償のために1.5億ドルの資金を調達しました。Roninのイーサリアムブリッジも再起動され、会社は6月末までにユーザーへの返金を開始することを約束しました。
この事件は再び暗号化通貨業界が直面しているセキュリティ脅威を浮き彫りにしました。ある研究によると、特定のハッカー組織が職業的なソーシャルプラットフォームや即時通信ソフトウェアを悪用し、複数の業界を標的にしてネットワーク攻撃を行っていることが示されています。したがって、業界関係者は警戒を強化し、セキュリティ意識を高める必要があります。
これに対して、セキュリティ専門家は次のように提案しています:
この事件は間違いなく、全体の暗号化通貨業界に警鐘を鳴らし、私たちが革新を追求する一方で、常に潜在的なセキュリティリスクに警戒する必要があることを思い出させます。