I just noticed the article on Golem about the Axie Infinity hack earlier this year. And it reads like a real shitshow. The hacker group has apparently planned for months how the hack can best take place. As it has now been discovered, the hacker group created a fake company and made a job offer to employees at SkyMavis (Axie Infinity) via LinkedIn. The perfidious part... the interviews for a job (better paid) at the fake company were conducted in several rounds to build more trust. Finally, a senior engineer at Sky Mavis accepted the offer and received a PDF file with malware and opened it on his computer, where access information to 4 of 9 nodes was stored. The hackers must have been happy and did not have the majority to sign the transactions as they wished. At that time there were 9 nodes and the majority (5 nodes) were needed to perform the attack. SkyMavis had asked for help from its DAO at that time and whitelisted signing keys. After the mass transactions decreased, the help was terminated, but the signing key remained on the whitelist. And the hackers apparently knew this very well. So the hackers got the missing piece to take over the chain and the shitshow took its run. In the process of the hack, 625 million US dollars in user funds were stolen at that time's exchange rates.
When I read through the sources, I can only shake my head and think to myself, how (repeatedly) stupid do you have to be, that such a shit happens. Get a job offer and open a PDF file of a stranger on a computer that either has the private keys or open on a PC that is in the same network ... Simply stupid. You could also just leave a USB stick in front of the door at SkyMavis headquarters in Vietnam with the label: Employee data. Some fool will pick it up and put it into the computer. Be that as it may... it is further stupid, if you have "only" 9 nodes to sign for the consensus and you can do such a shit with "only" 5 nodes under control. Here at Hive this can't work that easy, because we have 20 (21) different people signing and approving transcations ;)
Soeben bin ich auf Golem auf den Artikel zum Axie Infinity Hack früher diesen Jahres aufmerksam geworden. Und das liest sich wie eine richtige Shitshow. Die Hacker-Gruppe hat wohl allem anschein nach Monatelang geplant, wie der Hack am besten von Statten gehen kann. Wie nun herausgefunden wurde, hat die Hacker-Gruppe eine Fake-Firma hergestellt und über LinkedIn Mitarbeiter bei SkyMavis (Axie Infinity) ein Job Angebot unterbreitet. Das perfide dabei... die Bewerbungsgeschpräche für einen Job (besser bezahlt) bei der Fake Firma wurden in mehreren Runden durchgeführt um mehr Vertrauen aufzubauen. Schlußendlich hat sich ein Senior Engineer bei Sky Mavis dem Angebot angenommen und hat eine PDF Datei mit Malware zugesendet bekommen und auf dem Rechner geöffnet, wo auch Zugangsinformationen zu 4 von 9 Nodes lagen. Da haben sich die Hacker wohl gefreut und haben zwar noch nicht die Mehrheit gehabt um die Transaktionen nach ihren belieben zu signieren. Zu dem damaligen Zeitpunkt gab es 9 Nodes und die Mehrheit (5 Nodes) wurden benötigt, um den Angriff durchzuführen. SkyMavis hatte damals nach Hilfe bei dessen DAO erfragt und Signierungskeys auf eine Whitelist gesetzt. Nach dem die massenhaften Transaktionen abgenommen haben, wurde die Hilfe zwar beendet, aber die Signierungskey verblieb auf der Whitelist. Und das wussten die Hacker anscheinend genau. So haben die Hacker das fehlende Stück zur Übernahme der Chain und die Shitshow nahm ihren Lauf. Im Zuge des Hacks sind dann zu damaligen Kursen 625 Millionen US Dollar an User Funds entwendet worden.
Wenn ich mir die Quellen so durchlese, kann ich einfach nur mit dem Kopf schütteln und denke mir, wie (mehrfach) dumm muss man sein, das so eine Scheiße passiert. Nen Job Angebot bekommen und demnach eine PDF Datei eines Fremden auf einem Rechner öffnen, der entweder die Private Keys liegen hat oder auf einem PC öffnen, der im selbigen Netzwerk liegt... Einfach nur Dumm. Da kann man auch einfach nen USB Stick am SkyMavis Headquarter in Vietnam vor der Tür ablegen mit der Aufschrift: Mitarbeiterdaten. Irgend ein Dummer hebt den schon auf und steckt den in den Rechner. Wie dem auch sei... weiter Dumm ist es, wenn man für den Consensus "nur" 9 Nodes zum signieren hat und man mit "nur" 5 Nodes unter der Kontrolle so eine Kacke anstellen kann. Hier bei uns auf Hive kann das wohl nicht so einfach funktionieren, da wir 20 (21) Unterschiedliche Menschen haben, die Transkationen signieren und durchwinken ;)
Sources:
- https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game
- https://www.golem.de/news/axie-infinity-millionen-hack-bei-krypto-game-durch-jobangebot-2207-166682.html
One month after the hack, SkyMavis has now increased the number of nodes to 11 instead of 9. Their goal is probably 100... what's stopping a company from simply adding more security layers to the company structure so that something like this doesn't happen...? Unbelievable. Well, now the child has fallen into the water and at least serves to make other Defi projects or even other companies with security relevant information or large amounts of userfunds think about their security policies in the company. A healthy employee training also includes IT security and the agreement about dos and don'ts. Nowadays, hackers are getting more and more creative and create long planned operations to achieve success. So... Eyes open... I am curious to see how the next big hack will go. It will come, no question... or the infiltration is already underway.
In this sense - Stay Safe and Secure.
Einen Monat nach dem Hack hat SkyMavis nun die Anzahl der Nodes auf 11 anstatt 9 erhöht. Deren Ziel ist wohl 100... was hindert ein Unternehmen nicht einfach weitere Sicherheitslayer in die Firmenstruktur einzubauen, damit sowas nicht passiert... Unbegreiflich. Nunja, nun ist das Kind in den Brunnen gefallen und dient wenigstens dazu, das andere Defi Projekte oder gar andere Unternehmen mit sicherheitsrelevanten Informationen oder großen Mengen an Userfunds über ihre Sicherheitsrichtlinien im Unternehmen nachzudenken. Zur gesunden Mitarbeiter Schulung gehört halt auch IT-Sicherheit und die Absprache über Dos & Dont's. Heut zu Tage werden die Hacker immer kreativer und legen lang geplante Operationen an, damit ein Erfolg kommt. Also... Augen auf... Bin gespannt, wie der nächste große Hack von Statten gehen wird. Der wird kommen, keine Frage.. oder die Infiltrierung läuft bereits.
In diesem Sinne - Stay Safe and Secure.