整理 | 郑丽媛

出品 | CSDN（ID：CSDNnews）

提起 Axie Infinity 这款区块链游戏，许多人可能感到陌生，但如果说其单日收入可与《王者荣耀》争锋，想必大家就对这款链游的热门程度“有数”了——不过，它的辉煌并没有持续太久。

去年年中开始，主打“边玩边赚”（Play-to-Earn）的 Axie Infinity 可谓是风光无两，其通过游戏赚取加密货币的方式一时之间吸引了诸多玩家，日活用户数更是在 11 月达到峰值。

但紧接着，这款游戏便进入“下滑期”，整体收入和日活用户数量飞速下降，今年 3 月遭遇了 DeFi（Decentralized Finance，即去中心化金融）史上最大的黑客攻击更是“雪上加霜”：3 月 29 日，Axie Infinity 被黑客使用破解的私钥来伪造假提款，造成了约 6.25 亿美元（17.36 万枚以太坊和 2550 万 USDC）的损失。

当时，Axie Infinity 的游戏开发商 Sky Mavis 表示此次攻击是通过网络钓鱼计划实现的，政府方面则认定是由黑客组织 Lazarus 发起的，但二者均未披露有关这起事件的相关细节。

如今三个月过去了，这起黑客攻击事件的源头终于有所眉目：据外媒 The Block 报道，这一切源于一名 Axie Infinity 高级工程师收到了由黑客组织伪装的招聘公司所提供的一份假 Offer。

一、假 Offer 中夹杂着间谍软件

正如开头所说，Axie Infinity 曾在去年 11 月达到顶峰：拥有 270 万日活跃用户，每周交易量高达 2.14 亿美元。或许是由于此后游戏热度的骤减动摇了 Axie Infinity 背后 Sky Mavis 开发团队的信心，总之黑客趁机向一名 Sky Mavis 高级工程师（以下用 E 代称）抛出了“诱饵”。

今年年初，黑客组织伪装成一所假公司，通过职业社交网站 LinkedIn 向 E 发送招聘广告，邀请 E 来他们的公司工作（实际上，这家公司并不存在）。

毫无察觉的 E 上钩了，经过多轮面试后，E 看似获得了一份薪酬极其丰厚的工作，黑客组织按照正常的招聘流程通过 PDF 向 E 发送了一份 Offer，E 也下载了——然而，这份 Offer 中隐藏着可以入侵到 Ronin 系统的间谍软件。

准确来说，遭到黑客攻击的就是 Sky Mavis 专为 Axie Infinity 设计的以太坊侧链 Ronin。对许多 Axie Infinity 玩家而言，他们通常并不只在一个区块链生态系统中运作，为此 Sky Mavis 开发了跨链桥 Ronin Bridge，允许玩家将以太坊或 USDC 存入 Ronin，用其购买非同质化代币（NFT）或游戏内货币，也可以出售其游戏内的资产并提取资金。

黑客通过发给 E 的假 Offer 入侵了 Ronin 系统，控制了其中 4 个验证器节点。而 Ronin 链由 9 个验证器节点组成，识别存取款事件需要得到其中 5 个节点的签名，于是黑客便设法获取了 Axie DAO 验证器的签名。

Ronin 事后对此的解释为：2021 年 11 月 Sky Mavis 的用户负载巨大，因此请求了 Axie DAO 的帮助，Axie DAO 允许 Sky Mavis 代表其签署各种交易。虽然这项合作于 2021 年 12 月停止，但未撤销许可名单访问权限。

因此，简单概括整个流程就是：黑客通过假 Offer 中的间谍软件控制了 4 个 Ronin 验证器节点后，又利用 RPC 节点的后门获取了 Axie DAO 的签名，由此实现掌控 5 个节点签名，最终实现资产盗窃。

二、Ronin Bridge 已于 6 月 28 日重新开放

根据 3 月 29 日 Ronin 发布的公告来看，黑客早在 3 月 23 日就两次利用 Ronin Bridge 窃取了 17.36 万枚以太坊，以及价值超 2550 万美元的 USDC。但直到 3 月 29 日有玩家投诉无法从 Ronin 中提取 5000 枚以太坊之后，Ronin 才发现其验证器节点和 Axie DAO 验证器节点已遭到破坏。

在 Sky Mavis 于 4 月 27 日发布的关于黑客攻击的博客文章中，也隐晦提到了攻击源头：“员工不断受到各种社交渠道的网络钓鱼攻击，其中一名员工遭到入侵，目前这名员工已不在 Sky Mavis 工作。攻击者设法利用该员工的访问权限来渗透 Sky Mavis 的 IT 基础设施并获得对验证节点的访问权限。”

因此当时 Sky Mavis 表示，已将其验证节点数增加到 11 个，之后的长期目标是希望能拓展到 100 多个。

截止目前，Ronin Bridge 已于 6 月 28 日起重新开放，意味着 Axie Infinity 玩家可以从他们的游戏账户中存取资金，同时为了防止类似攻击的再次发生，Ronin Bridge 接受了两家知名区块链安全公司 Verichains 和 Certik 的内部审计和检查。此外，Sky Mavis 也表示会补偿受本次事件影响的用户，承诺向其返还丢失的资产。

三、网友：“完全是员工的错吗？”

对于 The Block 所报道的这场黑客攻击的源头解说，许多网友从不同角度发表了自己的见解。

• 有人指出 LinkedIn 这个平台本身就不安全：

“主要有两点要强调：

（1）LinkedIn 绝对是坏人的极好帮手，它可以轻易地用钓鱼邮件和短信攻击公司里的每个人。我知道许多安全专家在 LinkedIn 都不用他们的真名，也不透露其公司的名称，因为他们知道这是一个很好的黑客载体。

（2）我希望有更多关于 PDF 中漏洞的信息。我想很多人会对从陌生人那里下载 PDF 文件持谨慎态度，但对方如果是一个面试过多次、并给了你一份工作的人，情况可能就不是这样了。”

• 有人认为以太坊的安全性被炒作得过了头：

“正如本文所说的那样，这个系统的安全保证远远弱于以太坊共识协议。但这个系统被那些无视这一基本事实的骗子们炒作到了极点，还对安全性和稳定性提出了荒谬的说法。

基本上来说，以太坊被炒作为‘智能合约’平台。可一旦智能合约做了除基本转账以外的任何事情，它就需要一个‘验证器’。但也就因为“验证器”的存在，安全性才大大降低。在这种显而易见的问题下，这样的恶作剧还会继续发生。”

• 也有人指责 Sky Mavis 将事故问题推到员工身上：

“另一个导致攻击事件的原因难道不是为什么这个开发者拥有 5 个签名密钥吗？这根本不应该发生，因为这样的话这个开发者岂不是也有机会带着 6.25 亿美元逃逸？公司不应该把错误完全赖在员工头上。”

参考链接：

• https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game

• https://news.ycombinator.com/item?id=32001742

— 推荐阅读 —

《新程序员001-004》已全面上市，欢迎扫描下方二维码或点击订阅，即可畅享电子书及精美纸质书