Chi tiết về cuộc tấn công vào mạng lưới vừa được Ronin Network công bố, gần một tháng sau khi sự cố được phát hiện. Cụ thể, một nhân viên của Sky Mavis - nhà phát triển trò chơi Axie Infinity và Ronin Blockchain - trở thành nạn nhân của một vụ lừa đảo spear phishing.
Khác với phương pháp tấn công lừa đảo phishing hàng loạt, "spear phishing" là kiểu tấn công có chủ đích, nhắm đến một mục tiêu cụ thể và được nghiên cứu kỹ từ trước. Theo hãng bảo mật Trendmicro, kẻ tấn công có thể có thể tiến hành các biện pháp như do thám, thu thập thông tin của mục tiêu thông qua các hoạt động ngoài văn phòng, trên mạng xã hội để tìm kiếm cơ hội tấn công.
"Các nhân viên của Sky Mavis liên tục bị tấn công lừa đảo trên các kênh xã hội khác nhau và một trong số họ đã bị xâm phạm", Sky Mavis nói. Nhân viên này hiện không còn làm việc tại công ty. Kẻ tấn công sau đó lợi dụng quyền truy cập từ nhân viên để xâm nhập vào cơ sở hạ tầng của Sky Mavis và nắm được các nút xác thực.
Công ty khi ấy chỉ có quyền kiểm soát 4/9 nút xác thực và trên lý thuyết không thể thực hiện các giao dịch rút tiền. Tuy nhiên, từ việc xâm nhập hệ thống, kẻ tấn công phát hiện một cổng hậu và tìm thêm được một nút xác thực khác vốn thuộc quyền quản lý của tổ chức phi tập trung Axie DAO.
Vào tháng 11/2021, khi lượng người dùng Axie Infintiy tăng trưởng mạnh, công ty đã yêu cầu sự trợ giúp từ Axie DAO để phân phối các giao dịch miễn phí và được đồng ý. "Điều này đã bị ngừng vào tháng 12/2021, tuy nhiên quyền truy cập vào danh sách cho phép đã không bị thu hồi", công ty giải thích thêm.
Với việc kiểm soát được 5/9 nút xác thực, kẻ tấn công thực hiện hai giao dịch chuyển tiền, lấy đi 173.600 Ethereum và 25,5 triệu USDC từ cầu nối Ronin. Tổng số tiền thiệt hại tương đương 615 triệu USD và trở thành một trong những vụ hack tiền số lớn nhất từ trước đến nay.
Theo Sky Mavis, sau sự cố, công ty đã thực hiện các biện pháp tăng cường bảo mật cho cả hệ thống lẫn các quy trình nội bộ. Số nút xác thực Ronin Network hiện được nâng cấp từ 9 lên 11. Công ty khẳng định sẽ nâng lên 21 nút xác thực trong ba tháng tới, và mục tiêu dài hạn là hơn 100 nút. Nhân viên sẽ sử dụng các thiết bị riêng cho công việc nhằm giảm thiểu rủi ro.
Ngoài ra, Sky Mavis đặt mục tiêu trở thành một tổ chức Zero-Trust, tức luôn đặt giả định việc có thể bị tấn công trước các mối đe dọa từ trong lẫn ngoài. Khi đó, mọi kết nối sẽ đều cần được xác minh và cấp phép. Công ty đang tiến hành nâng cấp các hợp đồng trên cầu nối Ronin và đã hoàn thành 80% công việc, trước khi mở trở lại vào tháng 5 tới. Hiện việc nạp và rút tiền vào Axie Infinity được thực hiện tạm thời thông qua sàn Binance. Sàn này cho biết đã thu hồi được khoảng 5,8 triệu USD do hacker chuyển lên, đồng thời hỗ trợ gọi vốn được 150 triệu USD để Axie Infinity khắc phục hậu quả.
Trong khi đó, tính đến ngày 27/4, nhóm hacker đã chuyển vào công cụ Tornado Cash hơn 135 triệu USD nhằm rửa tiền. Hơn 340 triệu USD khác cũng đã được chuyển vào nhiều ví khác nhau để chuẩn bị cho quá trình tẩu tán.
Lưu Quý