世界上很少能有有工作申请比 Axie Infinity 的一位高级工程师更引人注目，他有兴趣加入一家后来被证明是虚构的公司，而这导致了加密行业最大的黑客攻击之一。  

Ronin 是链游Axie Infinity 专属的以太坊侧链，在 3 月份的一次黑客事件中损失了 5.4 亿美元的加密货币。虽然美国政府后来将此事件与朝鲜黑客组织 Lazarus 联系起来，但尚未披露有关如何执行该漏洞的全部细节。 

据The Block报道，这个事件与一个虚假的招聘广告相关。 

两位不愿透露姓名的知情人士称，今年早些时候，一位声称代表这家虚假公司的人通过领英联系了 Axie Infinity 开发商 Sky Mavis 的员工，并鼓励他们申请工作。经过多轮面试后，Sky Mavis 的一名工程师获得了一份薪酬极其丰厚的工作。 

随后，工程师收到了一封以PDF文档呈现的伪造的“Offer”录取信，工程师下载了该文档——允许黑客软件渗透到 Ronin 的系统。从那里，黑客能够攻击并接管 Ronin 网络上九个验证器中的四个，只差一个验证器无法完全控制。 

在4 月 27 日发布的关于黑客攻击的事后博客文章中，Sky Mavis 说：“员工不断受到各种社交渠道的高级网络钓鱼攻击，一名员工遭到入侵。该员工不再在 Sky Mavis 工作。攻击者设法利用该访问权限来渗透 Sky Mavis IT 基础设施并获得对验证节点的访问权限。”

验证器在区块链中完成各种功能，包括创建交易块和更新数据预言机。Ronin 使用所谓的“权威证明”系统来签署交易，将权力集中在九个受信任的验证者手中。

区块链分析公司 Elliptic 在4 月份就该事件发表的一篇博客文章解释说：“如果九个验证者中有五个批准，则可以将资金转出。攻击者设法获得了属于五个验证者的私钥，这足以窃取加密资产。”

但在通过虚假招聘广告成功渗透到 Ronin 的系统后，黑客只控制了九个验证者中的四个——这意味着他们需要另一个验证者来控制。 

Sky Mavis在其事后报告中透露，黑客设法使用 Axie DAO一个为支持游戏生态系统而设立的组织来完成攻击。Sky Mavis 曾在 2021 年 11 月请求 DAO 帮助处理繁重的交易负载。 

“Axie DAO 允许 Sky Mavis 代表其签署各种交易。这已于 2021 年 12 月停止，但未撤销许可名单访问权限，”Sky Mavis 在博客文章中说。“一旦攻击者能够访问 Sky Mavis 系统，他们就能够从 Axie DAO 验证器中获取签名。”

黑客攻击一个月后，Sky Mavis 将其验证节点的数量增加到 11 个，并在博客文章中表示，其长期目标是拥有 100 多个。  

Sky Mavis 拒绝评论黑客是如何进行的。领英也没有回应The Block的置评请求。

Sky Mavis在 4 月初由 Binance 牵头的一轮融资中筹集了 1.5 亿美元。融资将与公司自有资金一起用于补偿受攻击影响的用户。该公司最近表示，将于 6 月 28 日开始向用户返还资金。在黑客攻击时突然停止后，Ronin 的以太坊桥也于上周重新启动。

今天早些时候，ESET Research发布了一项调查，显示朝鲜的 Lazarus 滥用 LinkedIn 和 WhatsApp，瞄准航空航天和国防承包商。但该报告并未将该技术与 Sky Mavis 黑客行为联系起来。

此外，在今年4月，安全机构慢雾就发布安全提醒称， 朝鲜 APT 组织 Lazarus Group 使用一系列恶意应用程序针对数字货币行业进行定向 APT 攻击，具体方式包括：

1.该黑客组织充分采用社会工程学原理，在各大社交媒体中扮演角色（社交媒体包括 Twitter、Facebook、LinkedIn等）

2.与区块链行业开发人员聊天，接近，以便实施接下来的行动。

3.该黑客组织为了和开发人员“套近乎”，甚至建立自己的交易网站，通过这个看起来非常正常的网站，打出外包员工招募等幌子。

4.借机骗取开发人员的信任，然后发送相关恶意软件进行钓鱼攻击。（发送 DMG /EXE 木马）

针对该事件，慢雾给出以下防范建议：

1.建议行业从业人员随时关注国内外各大威胁平台安全情报，做好自我排查，提高警惕。

2.开发人员运行可执行程序之前，做好必要的安全检查。

3.做好零信任机制，可以有效降低这类威胁带来的风险。

4.建议 Mac/Windows 实机运行的用户保持安全软件实时防护开启，并随时更新最新病毒库。