Sosyal mühendislik yöntemleri sistemlere birçok teknik zafiyetten daha fazla zarar verebiliyor. Bunun son örneği yaşattığı kayıp sebebiyle dudak uçuklattı. Axie Infinity, yaşadığı saldırı sebebiyle yarım milyar dolardan daha fazla para kaybetmişti. Saldırının detayları ise henüz yeni netleşiyor. Peki milyar dolarlık hack olayının arka planında neler var?
Axie Infinity (AXS)
Axie Infinity‘nin temelini oluşturan Ethereum bağlantılı Ronin, mart ayında bir istismar nedeniyle 540 milyon dolarlık kripto kaybetti. ABD hükümeti daha sonra olayı Kuzey Koreli bilgisayar korsanlığı grubu Lazarus’a bağlarken, istismarın nasıl gerçekleştirildiğine dair tüm ayrıntılar açıklanmadı. Konuyla ilgili doğrudan bilgisi olan ve olayın hassas doğası nedeniyle anonim kalmak isteyen iki kişiye göre Axie Infinity’deki kıdemli bir mühendis, gerçekte var olmayan bir şirkette iş başvurusunda bulunmak üzere kandırıldı.
Axie Infinity çok büyüktü. Zirvede, Güneydoğu Asya’daki işçiler, P2E oyunuyla hayatlarını kazanmayı bile başardılar. Geçen yıl Kasım ayında oyun içi NFT’leri için günlük 2,7 milyon aktif kullanıcı ve haftalık 214 milyon dolarlık işlem hacmi görüldü.
Axie Infinity (AXS) Nasıl Hacklendi?
Konuya aşina olan kişilere göre, bu yılın başlarında, sahte şirketi temsil ettiğini iddia eden kişiler Axie Infinity geliştiricisi Sky Mavis’teki personele ulaştı ve iş başvurusunda bulunmasını istedi. Birkaç görüşmenin ardından Sky Mavis mühendisine son derece cömert bir ücret paketiyle bir iş teklif edildi. Sahte “teklif”, mühendisin indirdiği ve casus yazılımların Ronin’in sistemlerine sızmasına izin veren bir PDF belgesi biçiminde sunuldu. Oradan, bilgisayar korsanları Ronin ağındaki dokuz doğrulayıcıdan dördünü ele geçirmeyi başardı.
Saldırıyla ilgili 27 Nisan’da yayınlanan inceleme yazısında Sky Mavis şunları söyledi:
“Çalışanlar çeşitli sosyal kanallarda sürekli olarak gelişmiş hedef odaklı kimlik avı saldırıları altında ve bir çalışanın güvenliği ihlal edildi. Bu çalışan artık Sky Mavis’te çalışmıyor. Saldırgan, Sky Mavis BT altyapısına nüfuz etti ve doğrulayıcı düğümlere erişebildi. “
Blockchain analiz firması Elliptic olayla ilgili şunları yazmıştı;
“Dokuz doğrulayıcıdan beşi onaylarsa fonlar taşınabilir. Saldırgan, doğrulayıcılardan beşine ait özel şifreleme anahtarlarını ele geçirmeyi başardı ve bu da kripto varlıkları çalmak için yeterliydi.”
Ancak sahte iş ilanıyla Ronin‘in sistemlerine başarılı bir şekilde sızdıktan sonra, bilgisayar korsanları dokuz doğrulayıcıdan sadece dördünü kontrol edebildi. Yani kontrolü ele geçirmek için bir başkasına ihtiyaçları vardı. Sky Mavis, bilgisayar korsanlarının soygunu tamamlamak için oyun ekosistemini desteklemek için kurulmuş bir grup olan Axie DAO‘yu (Merkezi Olmayan Otonom Organizasyon) kullanmayı başardıklarını açıkladı. Sky Mavis, Kasım 2021’de DAO’dan yoğun bir işlem yüküyle başa çıkmak için yardım istemişti.
Saldırıdan bir ay sonra Sky Mavis, doğrulayıcı düğümlerinin sayısını 11’e çıkarmıştı ve blog yazısında uzun vadeli hedefinin 100’ün üzerine çıkmak olduğunu söyledi. Bugün erken saatlerde ESET Research, Kuzey Koreli Lazarus‘un havacılık ve savunma müteahhitlerini hedef almak için işe alım görevlileri gibi davranarak LinkedIn ve WhatsApp’ı kötüye kullandığını gösteren bir rapor yayınladı.