Sebuah fakta memelikkan terkuak bahwa lewat tawaran pekerjaan palsu, hacker berhasil meretas dan mencuri salah satu platform gim berbasis blockchain, Axie Infinity. The Block melaporkan kronologinya.
Ronin, sidechain yang terhubung dengan Ethereum yang mendukung permainan play-to-earn Axie Infinity, kehilangan 540 juta USD dalam bentuk crypto karena dieksploitasi pada bulan Maret. Sementara pemerintah AS kemudian mengaitkan insiden itu dengan kelompok peretas Korea Utara Lazarus, rincian lengkap tentang bagaimana eksploitasi itu dilakukan belum diungkapkan.
Menurut dua orang yang mengetahui langsung masalah tersebut, yang tidak disebutkan namanya karena sifat sensitif dari insiden tersebut, seorang insinyur senior di Axie Infinity ditipu untuk melamar pekerjaan di sebuah perusahaan yang, pada kenyataannya, tidak ada.
Axie Infinity sangat besar. Pada puncaknya, para pekerja di Asia Tenggara bahkan bisa mencari nafkah melalui permainan play-to-earn. Ini membanggakan 2,7 juta pengguna aktif harian dan 214 juta USD dalam volume perdagangan mingguan untuk NFT dalam game pada November tahun lalu – meskipun kedua angka tersebut turun drastis.
Awal tahun ini, staf di pengembang Axie Infinity Sky Mavis didekati oleh orang-orang yang mengaku mewakili perusahaan palsu dan didorong untuk melamar pekerjaan, menurut orang-orang yang mengetahui masalah tersebut. Salah satu sumber menambahkan bahwa pendekatan dilakukan melalui situs jejaring profesional LinkedIn.
Setelah apa yang digambarkan oleh satu sumber sebagai beberapa putaran wawancara, seorang insinyur Sky Mavis ditawari pekerjaan dengan paket kompensasi yang sangat murah hati.
“Penawaran” palsu itu disampaikan dalam bentuk dokumen PDF, yang diunduh oleh insinyur — memungkinkan spyware menyusup ke sistem Ronin. Dari sana, peretas dapat menyerang dan mengambil alih empat dari sembilan validator di jaringan Ronin — membuat mereka hanya kekurangan satu validator dari kendali total.
Dalam posting blog post-mortem tentang peretasan, yang diterbitkan 27 April, Sky Mavis mengatakan: “Karyawan berada di bawah serangan spear-phishing tingkat lanjut yang konstan di berbagai saluran sosial dan satu karyawan dikompromikan. Karyawan ini tidak lagi bekerja di Sky Mavis. Penyerang berhasil memanfaatkan akses itu untuk menembus infrastruktur TI Sky Mavis dan mendapatkan akses ke node validator.”
Validator memenuhi berbagai fungsi di blockchain, termasuk pembuatan blok transaksi dan pembaruan oracle data. Ronin menggunakan apa yang disebut sistem “bukti otoritas” untuk menandatangani transaksi, memusatkan kekuasaan di tangan sembilan aktor tepercaya.
Sebuah posting blog April tentang insiden dari perusahaan analisis blockchain Elliptic menjelaskan: “Dana dapat dipindahkan jika lima dari sembilan validator menyetujuinya. Penyerang berhasil mendapatkan kunci kriptografis pribadi milik lima validator, yang cukup untuk mencuri aset kripto.”
Tetapi setelah berhasil menyusup ke sistem Ronin melalui iklan pekerjaan palsu, para peretas hanya memiliki empat dari sembilan validator — yang berarti mereka membutuhkan yang lain untuk mengambil kendali.
Dalam post-mortemnya, Sky Mavis mengungkapkan bahwa para peretas berhasil menggunakan Axie DAO (Decentralized Autonomous Organization) — sebuah kelompok yang dibentuk untuk mendukung ekosistem game — untuk menyelesaikan pencurian. Sky Mavis telah meminta bantuan DAO untuk menangani beban transaksi yang berat pada November 2021.
“Axie DAO mengizinkan Sky Mavis untuk menandatangani berbagai transaksi atas namanya. Ini dihentikan pada Desember 2021, tetapi akses daftar yang diizinkan tidak dicabut, ”kata Sky Mavis dalam posting blog. “Setelah penyerang mendapatkan akses ke sistem Sky Mavis, mereka bisa mendapatkan tanda tangan dari validator Axie DAO.”
Sebulan setelah peretasan, Sky Mavis telah meningkatkan jumlah node validatornya menjadi 11, dan mengatakan dalam posting blog bahwa tujuan jangka panjangnya adalah memiliki lebih dari 100.
Sky Mavis menolak berkomentar tentang bagaimana peretasan dilakukan ketika tercapai. LinkedIn tidak menanggapi beberapa permintaan komentar.
Sebelumnya hari ini, ESET Research menerbitkan penyelidikan yang menunjukkan bahwa Lazarus Korea Utara telah menyalahgunakan LinkedIn dan WhatsApp dengan menyamar sebagai perekrut untuk menargetkan kontraktor kedirgantaraan dan pertahanan. Tetapi laporan itu tidak mengaitkan teknik itu dengan peretasan Sky Mavis.
Sky Mavis mengumpulkan 150 juta USD dalam putaran yang dipimpin oleh Binance pada awal April. Hasil akan digunakan bersama dengan dana perusahaan sendiri untuk mengganti pengguna yang terkena dampak eksploitasi. Perusahaan mengatakan baru-baru ini bahwa mereka akan mulai mengembalikan dana kepada pengguna pada 28 Juni. Setelah tiba-tiba berhenti pada saat peretasan, jembatan Ethereum Ronin juga diluncurkan kembali minggu lalu.
Tingkat peretasan DeFi telah meningkat pesat tahun ini, melampaui 2 miliar USD total dana yang hilang, menurut data The Block Research. Pada 1 Januari, jumlahnya mencapai 760 juta USD.