金色觀察 | TheBlock：Axie5.4億美元是被黑客一份假Offer盜走的_MAV

2022年7月7日TheBlock披露，2022年3月以太坊側鏈Ronin被盜5.4億美元的原因，居然是AxieInfinity一位工程師收到的黑客組織偽裝的招聘公司提供的假Offer。

以下為TheBlock報道：

Ronin是支持游戲賺錢游戲AxieInfinity的與以太坊相關的側鏈，在3月份的一次漏洞利用中損失了5.4億美元的加密貨幣。雖然美國政府后來將此事件與朝鮮黑客組織Lazarus聯系起來，但尚未披露有關如何執行該漏洞的全部細節。

TheBlock揭示是一個虛假的招聘Offer摧毀了Ronin。

金色財經挖礦數據播報 | BTC今日全網算力上漲0.58%:金色財經報道，據蜘蛛礦池數據顯示：

BTC全網算力130.596EH/s，挖礦難度19.16T，目前區塊高度659557，理論收益0.00000757/T/天。

ETH全網算力289.017TH/s，挖礦難度3588.77T，目前區塊高度11370533，理論收益0.00675783/100MH/天。

BSV全網算力1.101EH/s，挖礦難度0.16T，目前區塊高度663768，理論收益0.00081729/T/天。[2020/12/2 22:49:47]

據兩名直接了解此事的人士稱，AxieInfinity的一名高級工程師被騙申請了一家實際上并不存在的公司的工作。由于事件敏感性，他們不愿透露姓名。

金色晨訊 | 德國內閣和央行就CBDC問題進行密切溝通:1.BTC算力創歷史新高。

2.德國內閣和央行就CBDC問題進行密切溝通。

3.V神：現在不是提高gas limit的最佳時機，建議在伊斯坦布爾硬分叉時進行。

4.歐盟競爭事務專員：歐盟委員會已經向市場發送有關Libra的調查問卷。

5.目前比特幣礦工的總營收已超過140億美元。

6.印度黑錢特別調查組：政府沒必要對加密貨幣進行監管，一刀切是唯一選擇。

7.韓國互聯網巨頭Kakao正在開發4個加密錢包 其中一個類似于三星區塊鏈錢包。

8.ETH、ADA和DASH等有超過80％的地址處于虧損狀態。

9.Elwood Asset Management將推出10億美元的機構加密對沖基金。[2019/8/31]

AxieInfinity在鼎盛時期，東南亞工人甚至能夠通過“邊玩邊賺”游戲謀生。去年11月，它的游戲內NFT擁有270日活躍用戶和2.14億美元的每周交易量——盡管此后這兩個數字都大幅下降。

金色快評 | 實體經濟領域是區塊鏈技術應用落地的“主戰場”:近日，國美金融發布區塊鏈白皮書——《區塊鏈延保服務應用白皮書》。國美金融基于對業務場景和用戶的充分了解，抓準延保行業痛點，結合區塊鏈技術特性提出解決方案。這是繼百度之后第二家企業發的區塊鏈白皮書，可以看出，不管是互聯網企業還是傳統企業，對于區塊鏈的認知和共識都保持了一致性，金融+區塊鏈，物流+區塊鏈等都是目前很多企業開始布局的方向，而區塊鏈的革命性在于，通過利用創新設計的分布式記賬技術實現了一種全新的信任模式——使得在價值交互過程中人與人的信任關系能夠轉換為人與技術的信任，這種信任將成為構建未來價值自由流通網絡的基礎，并最終促進價值互聯網的形成。隨著數字科技對金融行業的賦能，特別是區塊鏈技術，為未來更加廣泛的應用場景提供了豐富的想象空間。而實體經濟領域是區塊鏈技術應用落地的“主戰場”，區塊鏈技術的價值也將集中體現在為相關產業落地后帶來的附增價值上面。[2018/9/29]

據知情人士透露，今年早些時候，聲稱代表這家假公司的人聯系了AxieInfinity開發商SkyMavis的員工，并鼓勵他們申請工作。一位消息人士補充說，這些方法是通過專業網站LinkedIn進行的。

一位消息人士稱，經過多輪面試后，SkyMavis的一名工程師獲得了一份薪酬極其豐厚的工作。

偽造的“Offer”以PDF文檔形式提供，工程師下載了該文檔——這讓間諜軟件滲透到Ronin系統。從那里，黑客能夠攻擊并接管Ronin網絡上九個驗證者中的四個，他們再有一個驗證者就可以完全控制Ronin橋。

在4月27日發布的關于黑客攻擊的事后博客文章中，SkyMavis說：“員工不斷受到各種社交渠道的高級釣魚式網絡釣魚攻擊，一名員工遭到入侵。該員工不再在SkyMavis工作。攻擊者設法利用該訪問權限來滲透SkyMavisIT基礎設施并獲得對驗證節點的訪問權限。”

驗證者在區塊鏈中完成各種功能，包括創建交易塊和更新數據預言機。Ronin使用所謂的“權威證明”系統來簽署交易，將權力集中在九個受信任的參與者手中。

區塊鏈分析公司Elliptic在4月份就該事件發表的一篇博客文章解釋說：“如果九個驗證者中有五個批準，則可以將資金轉出。攻擊者設法獲得了屬于五個驗證者的私鑰，這足以竊取加密資產。”

但在通過虛假招聘廣告成功滲透到Ronin系統后，黑客只控制了九個驗證者中的四個——這意味著他們需要另一個驗證者來控制。

SkyMavis在其復盤報告中透露，黑客設法使用AxieDAO——一個為支持游戲生態系統而設立的組織——來完成攻擊。SkyMavis曾在2021年11月請求DAO幫助處理繁重的交易負載。

“AxieDAO允許SkyMavis代表其簽署各種交易。這已于2021年12月停止，但未撤銷許可名單訪問權限，”SkyMavis在博客文章中說。“一旦攻擊者能夠訪問SkyMavis系統，他們就能夠從AxieDAO驗證者中獲取簽名。”

黑客攻擊一個月后，SkyMavis將其驗證節點的數量增加到11個，并在博客文章中表示，其長期目標是擁有100多個。?

SkyMavis拒絕評論黑客是如何進行的。Linkin沒有回應置評請求。

Tags：區塊鏈SKYMMAVSKY區塊鏈幣種類SKYM價格mav幣挖礦SKYFT幣

瑞波幣