AVI:一份假Offer如何盜走了「Axie Infinity」5.4億美元？_SKYM

今年早些時候，黑客誘騙AxieInfinity的一名高級工程師申請了一家虛構的公司的工作，最終導致AxieInfinity遭受5.4億美元加密貨幣的損失。以下是TheBlock報道的黑客入侵AxieInfinity的細節。很少能有求職經歷比AxieInfinity高級工程師的遭遇更刺激了。他對加入一家虛構公司的興趣最終促成了加密行業最大的黑客攻擊之一。去年11月，AxieInfinity游戲內NFT的日活躍用戶一度達到270萬，周交易額達到2.14億美元。而今年3月，P2E鏈游龍頭AxieInfinity的以太坊側鏈Ronin損失了價值5.4億美元的加密貨幣。雖然美國政府后來將這一事件與朝鮮黑客組織Lazarus聯系在一起，但有關這次攻擊是如何進行的全部細節尚未披露。其實毀掉Ronin的僅僅是一個虛假的招聘廣告。兩名了解此事的人士表示，AxieInfinity的一名高級工程師被騙申請了一家實際上并不存在的公司的職位。由于事件的敏感性，這兩名人士要求匿名。據知情人士透露，今年早些時候，自稱代表這家假冒公司的人通過LinkedIn和WhatsApp勾搭了AxieInfinity開發商SkyMavis的員工，利用新工作機會引誘他。有消息稱，在經過多輪面試后，SkyMavis的一名工程師獲得了一份薪酬極其豐厚的工作。這個虛假Offer是以PDF文件的形式發送的，工程師下載了這個文件——這讓木馬得以滲透到Ronin的系統中。從那時起，黑客可以攻擊并接管Ronin網絡上9個驗證器中的4個，只差1個驗證器無法完全控制。SkyMavis在4月27日發布的一篇博文中對此次黑客攻擊進行了分析，文章稱：“員工在各種社交渠道上不斷受到高級釣魚網絡攻擊，其中一名員工遭到了攻擊。這名員工已經不在SkyMavis工作了。攻擊者成功利用該訪問權限滲透SkyMavis的IT基礎設施，并獲得了對驗證器節點的訪問權限。”驗證器在區塊鏈中可實現各種功能，包括創建交易區塊和更新數據預言機。Ronin使用所謂的“授權證明”系統來簽署交易，將權力集中在9個可信任的驗證者手中。區塊鏈分析公司Elliptic在今年4月的一篇博客文章中解釋說：“如果九個驗證者中有五個批準，資金就可以轉移出去。攻擊者設法獲得了5個驗證器的私有加密密鑰，這足以竊取加密資產。”但在通過假招聘廣告成功滲透到Ronin的系統后，黑客只控制了9個驗證器中的4個——這意味著黑客還需要另一個才能控制Ronin系統。在事后分析中，SkyMavis透露，黑客成功地使用了AxieDAO來完成盜取。SkyMavis曾在2021年11月請求AxieDAO幫助處理交易負載問題。“AxieDAO允許SkyMavis代表其簽署各種交易。在2021年12月暫停，但允許訪問列表沒有被撤銷，”SkyMavis在博客文章中說。“一旦攻擊者進入SkyMavis系統，他們就能從AxieDAO驗證器獲得簽名。”黑客入侵一個月后，SkyMavis將其驗證器節點的數量增加到11個，并在博客文章中表示，其長期目標是超過100個。當記者聯系到SkyMavis時，該公司拒絕就此次黑客攻擊是如何進行的置評。LinkedIn也多次拒絕置評。今天早些時候，ESET研究公司公布了一項調查，顯示朝鮮黑客組織Lazarus用LinkedIn和WhatsApp冒充招募人員，目標人群是航空航天和國防承包商。但該報告并未將該技術與SkyMavis黑客聯系起來。今年4月初，SkyMavis在由幣安領投的一輪融資中籌集了1.5億美元。所得款項將與該公司備用資金一起用于補償受該漏洞影響的用戶。AxieInfinity最近表示，將于6月28日開始向返還用戶資金。在被黑客攻擊時突然中斷的Ronin的以太坊橋也于上周也重新啟動了。根據TheBlockResearch的數據，今年DeFi黑客攻擊事件頻發，損失的資金總額超過20億美元。1月1日，這一數字僅為7.6億美元。

由六名專門從事證券法及相關領域的法律學者提交了一份法庭之友陳述，支持Coinbase與美SEC的法律訴訟:金色財經報道，由六名專門從事證券法及相關領域的法律學者組成的小組提交了一份法庭之友陳述，支持加密貨幣交易所 Coinbase 與美國證券交易委員會(SEC) 的法律訴訟。這群法律學者向位于紐約南區的美國地方法院提交了他們的法庭之友陳述。利用他們對證券法的理解，他們著手闡明這些法律框架錯綜復雜的歷史基礎。

在他們的文件中，法律從業者認為，豪伊測試所概括的聯邦先例承認“投資合同”需要預期業務收入、利潤或資產。總體而言，法學界人士主張法院在解釋“投資合同”的范圍時應嚴格遵循“投資合同”的既定定義。[2023/8/13 16:23:23]

FTX Trading及其附屬債務人宣布發布第一份報告:金色財經報道，FTX Trading Ltd及其附屬債務人宣布發布第一份報告，該報告確定并討論了 FTX 集團前任管理團隊的控制失誤在關鍵領域，包括管理和治理、財務和會計、數字資產管理、信息安全和網絡安全。FTX Debtors 首席執行官兼首席重組官 John J. Ray III 表示：“我們本著自第 11 章程序開始以來承諾的透明度精神發布了第一份報告。在這份報告中，我們提供我們發現 FTX Group 未能在對保護現金和加密資產至關重要的領域實施適當控制的詳細信息。FTX?Group 被一小群人嚴格控制，他們謊稱負責任地管理 FTX Group，但實際上表現出興趣不大在建立監督或實施適當的控制框架方面。我們正在繼續努力審查導致 FTX 下跌的事件，并為債權人確定和恢復盡可能多的價值。[2023/4/10 13:54:13]

動態 | 以太坊開發人員：以太坊2.0的抵押合約正等待一份報告 Beacon chain測試網資源管理器已啟動:據Trustnodes 12月5日消息，以太坊2.0構建團隊Prysmatic Labs的Danny Ryan表示，以太坊2.0的抵押合約似乎本月難以達成，因為它現在正在等待一份報告的發布。他表示：“運行驗證將在一個月內發布正式的版本、分析和報告。一旦發布，就可以部署合約。”此外，Ryan表示，所有這些，包括這份報告，應該在一個月內完成。如果到時還有問題需要解決，那將還需要一段時間，據估計，抵押合約最早可能在1月底或2月份推出。在此之前，抵押合約要經過一個測試網，目前尚不清楚何時啟動以太坊2.0多客戶端測試網。但是，有一個資源管理器已經投入使用，但這是針對Prysmatic Labs特定的單客戶端Beacon chain測試網的。以太坊2.0客戶端Lighthouse最近也啟動了其單客戶公共測試網，其代碼也正在接受審核。[2019/12/6]

動態 | 律師公布了一份“印度禁止使用加密貨幣”的草案:據律師Varun Sethi分享的信息稱，印度禁止使用加密貨幣的草案已經公開。第二部分草案的一部分寫道：“任何人不得在印度境內開采、生產、持有、出售、買賣、發行、轉讓、處置或使用加密貨幣。本法案的任何規定均不適用于任何為實驗或研究目的而使用任何加密貨幣基礎技術或程序的任何人，包括向學生傳授的人，前提是不得使用加密貨幣來支付或接受此類活動的付款。本法任何規定均不適用于使用分布式分類賬技術創建網絡，用于交付任何金融或其他服務，或用于創造價值，而不涉及使用任何加密貨幣進行支付或接受支付。”考慮到這么長的時間，政府表示正在“研究技術”和“理解加密貨幣”。據今年5月報道，印度官員提交的一份RTI文件，詢問是否計劃對加密貨幣實施全面禁令，但遭到了經濟事務部(DEA)的拒絕。拒絕的理由是，審議工作已經結束，有關資料將很快公布。（crypto-news）[2019/7/15]

Tags：MAVSKYAVISKYMmav幣值得挖嗎SKYFT價格AviatorSKYM價格

Fil