Der Hack von Axie Infinity soll durch eine vorgebliche Mitarbeiter-Abwerbung mit anschließendem Angebot per PDF-Datei ermöglicht worden sein.
The Block berichtet unter Berufung auf zwei anonyme Zeugen „mit direkter Kenntnis der Angelegenheit“, dass am Jahresanfang Mitarbeiter von Sky Mavis Inc., dem Entwickler des Play-to-Earn-Videospiels Axie Infinity, über LinkedIn durch ein Fake-Unternehmen Job-Angebote erhielten. Nach mehreren Bewerbungsrunden erhielt ein leitender Mitarbeiter von Sky Mavis ein äußerst großzügiges Angebot in Form einer mit Spyware versetzten PDF-Datei. Wie The Blog bekannt gab, verlor das Unternehmen im März, auch durch Ausnutzen dieser Spyware, mehr als 620 Millionen Dollar.
Mitarbeiter fiel auf imaginäres Jobangebot herein
Der Spieleentwickler lud die PDF-Datei mit dem Job-Angebot auf seinen Rechner. Infolge konnte Spyware die Systeme von Ronin infiltrieren. Hackern gelang es so, vier von neun Validatoren im Ronin-Netzwerk anzugreifen und zu übernehmen. Sky Mavis gab am 27. April in einem Blogbeitrag über den Hack bekannt:
„Mitarbeiter sind ständig fortgeschrittenen Spear-Phishing-Angriffen auf verschiedenen sozialen Kanälen ausgesetzt. Ein Mitarbeiter wurde kompromittiert. Dieser arbeitet nicht mehr bei Sky Mavis. Dem Angreifer gelang es, diesen Zugang zu nutzen, um in die IT-Infrastruktur von Sky Mavis einzudringen und Zugang zu den Validierungsknoten zu erhalten.“
Hacker übernahmen Kontrolle und starteten Beutezug
Um den Angriff abzuschließen, übernahmen die Hacker schließlich noch die Kontrolle über den letzten für den Angriff notwendigen Node über die Axie DAO. Die Berechtigungen hierfür waren noch gültig und die Hacker nutzten diese aus. Sky Mavis informierte:
„Der Angreifer hat es geschafft, die Kontrolle über fünf der neun privaten Schlüssel des Validators zu erlangen – 4 Sky Mavis-Validatoren und 1 Axie DAO – um Auszahlungen zu initiieren. Dies führte dazu, dass 173.600 Ether und 25,5 Millionen der Stablecoin USDC in zwei Transaktionen von der Ronin-Brücke abgezogen wurden.“
Das Blockchain-Analyseunternehmens Elliptic klärte in einem Blogbeitrag auf:
„Gelder können verschoben werden, wenn fünf der neun Prüfer dies genehmigen. Dem Angreifer gelang es, an die privaten kryptografischen Schlüssel von fünf der Validatoren zu gelangen, was ausreichte, um die Kryptoassets zu stehlen.“
Axie Infinity nutzt das Ronin-Netzwerk, eine „Sidechain“, die das vietnamesischen Studio Sky Mavis speziell für das Spiel entwickelt hat. Diese gestattet es Benutzern, auf die Ethereum-Blockchain zuzugreifen, ohne viele der Standard-Transaktionsgebühren zu zahlen, um Transfers von digitaler Währung in und aus dem Spiel Axie Infinity heraus zu ermöglichen. Spieler können so Krypto im Austausch für das Spielen und die Zahlung einiger Startkosten erhalten.
Axie Infinity hatte 2,5 Millionen aktive Nutzer
Das Online-Spiel Axie Infinity ist ein Pokemon-ähnliches Videospiel, das nicht-fungible Token (NFTs) verwendet. Mit bunten, klecksartigen Cartoon-Axolotls nehmen die Spieler auch an Kämpfen teil. Die digitalen Monster namens „Axies“ sind dabei mit Non-Fungible Token (NFT) verknüpft. Diese einzigartigen, digitalen Kunstwerke können Spieler sowohl züchten, als auch trainieren, kaufen oder verkaufen.
Spieler können im Spiel Kryptowährung verdienen, die an einigen Kryptowährungsbörsen anschließend auch außerhalb des Spiels gehandelt werden kann. Das Spiel hat laut Hersteller-Angaben täglich 2,5 Millionen aktive Nutzer. Laut dem NFT-Marktverfolger CryptoSlam wäre dies zudem die größte NFT-Sammlung aller Zeiten. Allein im Jahr 2021 flossen laut Business Insider India NFTs im Wert von 3,5 Milliarden US-Dollar durch Axie Infinity.
Sky Mavis erstattet Geld zurück
Gemäß dem FBI hätte eine Untersuchung ergeben, dass der mittlerweile zu den größten Kryptodiebstählen der Geschichte gezählte Hackangriff gegen Axie Infinity auf Lazarus Group zurückzuführen sei. Sky Mavis gab indessen an, dass es eine Kombination aus seinen eigenen Bilanzmitteln und 150 Millionen Dollar von Investoren, einschließlich Binance, verwenden würde, um das verlorene Geld an die Spieler rückzuerstatten.
