Estafas

Cómo una oferta de trabajo falsa acabó con el criptojuego más popular del mundo

The Block Crypto
Escrito por The Block Crypto 06.07.2022 5 min de lectura
Cómo una oferta de trabajo falsa acabó con el criptojuego más popular del mundo

Rara vez una solicitud de empleo ha fracasado de manera más espectacular que en el caso de un ingeniero sénior de Axie Infinity, cuyo interés en unirse a lo que resultó ser una empresa ficticia condujo a uno de los mayores ataques del sector de las criptomonedas.

Ronin, la cadena lateral vinculada a Ethereum que sustenta el juego Axie Infinity, perdió USD 540 millones en criptomonedas debido a un exploit en marzo. Si bien el gobierno de EE. UU. luego relacionó el incidente con el grupo de piratería de Corea del Norte Lazarus, no se han revelado todos los detalles de cómo se llevó a cabo la explotación.

The Block ahora puede revelar que un anuncio de trabajo falso fue la ruina de Ronin.

Según dos personas con conocimiento directo del asunto, a quienes se les otorgó el anonimato debido a la naturaleza delicada del incidente, un ingeniero senior de Axie Infinity fue engañado para que solicitara un trabajo en una empresa que, en realidad, no existía.

Axie Infinity era enorme. En su apogeo, los trabajadores en el sudeste asiático incluso pudieron ganarse la vida a través del juego de jugar para ganar. Se jactó de 2.7 millones de usuarios activos diarios y $214 millones en volumen de operaciones semanales para sus NFT en el juego en noviembre del año pasado, aunque ambas cifras se han desplomado desde entonces.

A principios de este año, el personal del desarrollador de Axie Infinity, Sky Mavis, fue abordado por personas que pretendían representar a la compañía falsa y se les animó a solicitar puestos de trabajo, según personas familiarizadas con el asunto. Una fuente agregó que los acercamientos se realizaron a través del sitio de redes profesionales LinkedIn.

Después de lo que una fuente describió como múltiples rondas de entrevistas, a un ingeniero de Sky Mavis se le ofreció un trabajo con un paquete de compensación extremadamente generoso.

La oferta falsa se entregó en forma de un documento PDF, que el ingeniero descargó, lo que permitió que el spyware se infiltrara en los sistemas de Ronin. A partir de ahí, los piratas informáticos pudieron atacar y apoderarse de cuatro de los nueve validadores en la red Ronin, dejándolos a solo un validador por debajo del control total.

En una publicación de blog post-mortem sobre el hackeo, publicada el 27 de abril, Sky Mavis dijo: “Los empleados están bajo constantes ataques avanzados de phishing en varios canales sociales y un empleado se vio comprometido. Este empleado ya no trabaja en Sky Mavis. El atacante logró aprovechar ese acceso para penetrar en la infraestructura de TI de Sky Mavis y obtener acceso a los nodos de validación”.

Los validadores cumplen varias funciones en blockchains, incluida la creación de bloques de transacciones y la actualización de oráculos de datos. Ronin utiliza el llamado sistema de prueba de autoridad para firmar transacciones, concentrando el poder en manos de nueve actores confiables.

Una publicación de blog de abril sobre el incidente de la firma de análisis de blockchain Elliptic explica: “Los fondos pueden retirarse si cinco de los nueve validadores lo aprueban. El atacante logró hacerse con las claves criptográficas privadas pertenecientes a cinco de los validadores, lo que fue suficiente para robar los criptoactivos”.

Pero después de infiltrarse con éxito en los sistemas de Ronin a través del anuncio de trabajo falso, los piratas informáticos tenían el control de solo cuatro de los nueve validadores, lo que significa que necesitaban otro para tomar el control.

En su autopsia, Sky Mavis reveló que los piratas informáticos lograron usar Axie DAO (Organización Autónoma Descentralizada), un grupo creado para apoyar el ecosistema de juegos, para completar el atraco. Sky Mavis había pedido ayuda a la DAO para lidiar con una gran carga de transacciones en noviembre de 2021.

“Axie DAO incluyó a Sky Mavis en la lista de permitidos para firmar varias transacciones en su nombre. Esto se suspendió en diciembre de 2021, pero el acceso a la lista de permitidos no se revocó”, dijo Sky Mavis en la publicación del blog. “Una vez que el atacante obtuvo acceso a los sistemas Sky Mavis, pudo obtener la firma del validador Axie DAO”.

Un mes después del ataque, Sky Mavis había aumentado el número de sus nodos de validación a 11 y dijo en la publicación del blog que su objetivo a largo plazo era tener más de 100.

Sky Mavis se negó a comentar cómo se llevó a cabo el hackeo cuando fue contactado. LinkedIn no respondió a múltiples solicitudes de comentarios.

Hoy temprano, ESET Research publicó una investigación que muestra que Lazarus de Corea del Norte había abusado de LinkedIn y WhatsApp haciéndose pasar por reclutadores para apuntar a contratistas aeroespaciales y de defensa. Pero el informe no vinculó esa técnica con el truco de Sky Mavis.

Sky Mavis recaudó $150 millones en una ronda liderada por Binance a principios de abril. Los ingresos se utilizarán junto con los fondos propios de la empresa para reembolsar a los usuarios afectados por el exploit. La compañía dijo recientemente que comenzaría a devolver los fondos a los usuarios el 28 de junio. Después de detenerse repentinamente en el momento del ataque, el puente Ethereum de Ronin también se relanzó la semana pasada.

La tasa de piratería de DeFi se ha acelerado rápidamente este año, superando los $2 mil millones en fondos totales perdidos, según los datos de The Block Research. El 1 de enero, la cifra ascendía a 760 millones de dólares.