מוקדם יותר בחודש במרץ השנה, נודע כי 600 מיליון דולר נגנבו מרשת רונין (Ronin), שהיא רשת צד המחוברת לרשת הבלוקצ'יין של אתריום ומאפשרת את פעולתו של משחק ה-P2E (לשחק כדי להרוויח או Play to Earn) אקסי אינפיניטי (Axie Infinity).
רשויות החוק בארצות הברית הצביעו על קבוצת האקרים צפון קוריאנית בשם לאזארוס (Lazarus) כמי שביצעה את המתקפה.
חשיפה של אתר The Block גילתה אתמול (ד') כי הפריצה לרונין התאפשרה לאחר שהתוקפים השיגו גישה למערכת המידע של חברת סקיי מייוויס (Sky Mavis), המפתחת של אקסי אינפיניטי, באמצעות הצעת עבודה פיקטיבית שנשלחה לאחד מעובדי החברה.
התרמית שהובילה לפריצה
מוקדם יותר השנה עובדים בחברת סקיי מייוויס קיבלו פניות מנציגים של חברה פיקטיבית אשר הציעה להם עבודה. הפניות הגיעו ככל הנראה דרך לינקדאין (LinkedIn), הרשת החברתית לנטוורקינג מקצועי. לאחר מספר סבבים של ראיונות אחד המהנדסים בסקיי מייוויס קיבל מהחברה הפיקטיבית הצעת עבודה מפתה אשר כללה חבילת פיצויים נדיבה.
הצעת העבודה המזויפת נשלחה למהנדס בקובץ PDF שאותו הוא הוריד למחשב שלו ובכך איפשר לתוכנת הריגול של ההאקרים לחדור למערכת המידע של החברה. משם הצליחו ההאקרים לתקוף ארבעה מתוך תשעה המאמתים ברשת רונין ולהשתלט עליהם. לאחר מכן נותר להם לתקוף רק עוד מאמת אחד כדי להשתלט על הרשת.
המאמתים ממלאים מספר תפקידים ברשת הבלוקצ'יין, לרבות יצירת בלוקים של טרנסקציות ועדכון נתונים ממקורות מידע חיצוניים (Oracles). רשת רונין משתמשת במנגנון קונצנוס מסוג הוכחת סמכות (Proof of Authority) אשר ריכז את הכוח בידיהם של תשעה מאמתים מהימנים.
בניתוח שלאחר מעשה אשר פורסם באפריל, אישרו בסקיי מייוויס כי אחד העובדים שלהם אכן נפל קורבן למתקפה וציינו כי אותו עובד כבר אינו מועסק בחברה.
השתלטות על המאמת החמישי
כדי להעביר כספים אל מחוץ לרשת רונין נדרש אישור של חמישה מתוך תשעה המאמתים. כאמור, התוקפים השתלטו על ארבעה מאמתים וכך השיגו את המפתחות הפרטיים שלהם. כדי להשתלט על מאמת חמישי התוקפים ניצלו את ה-DAO (ארגון אוטונומי מבוזר או Decentralized Autonomous Organization) של אקסי אינפיניטי, שהוא ארגון אשר נועד לתמוך באקוסיסטם של המשחק.
אקסי אינפיניטי הפך למשחק ה-P2E הפופולרי בעולם. בנובמבר 2021 היו לו 2.7 מיליון משתמשים פעילים ביום ונפח מסחר שבועי של 214 מיליון דולר ממכירות NFTs (טוקנים יחודיים או Non Fungible Tokens) של המשחק. הצלחה זו יצרה עומס כבד של טרנסקציות ובעקבותיו סקיי מייוויס פנתה באותו חודש ל-Axie DAO בבקשה לסייע להם להתמודד עם נפח תעבורת הנתונים החריג. כדי להקל על העומס אישר ה-DAO לסקיי מייוויס לחתום על חלק מהטרנסקציות בשמו.
תוקפו של האישור שה-DAO העניק לסקיי מייוויס פג בדצמבר 2021, אך הרישום של האישור לא נמחק. לאחר שהתוקפים השיגו גישה למערכת המידע של סקיי מייוויס הם הצליחו להשיג את אותו אישור וכך השתלטו על המפתח הפרטי של מאמת נוסף, החמישי במספר.
חודש לאחר המתקפה סקיי מייוויס הגדילה את מספר המאמתים מ-9 ל-11 והצהירה כי בעתיד בכוונתה להגיע למספר של מעל 100 מאמתים.
בסקיי מייוויס סירבו להגיב על הגילוי וכך גם בלינקדאין.
לסיכום
באפריל סקיי מייוויס גייסה 150 מיליון דולר בסבב גיוס שהובילה בורסת בינאנס (Binance). סכום זה, יחד עם הון נוסף של החברה, יועד לפיצוי משתמשים שנפגעו מניצול הפרצה. החברה היתה אמורה להתחיל לפצות משתמשים בסוף יוני. בשבוע שעבר הושק מחדש החיבור בין רשת רונין לרשת אתריום.
לאחר שני רבעונים נראה כי סך הכספים שאבדו השנה כתוצאה ממתקפות והונאות בפלטפורמות כלכלה מבוזרת (DeFi) כבר עברו את ה-2 מיליארד דולר.