区块链:金色观察 | TheBlock：Axie5.4亿美元是被黑客一份假Offer盗走的

2022年7月7日TheBlock披露，2022年3月以太坊侧链Ronin被盗5.4亿美元的原因，居然是AxieInfinity一位工程师收到的黑客组织伪装的招聘公司提供的假Offer。

以下为TheBlock报道：

Ronin是支持游戏赚钱游戏AxieInfinity的与以太坊相关的侧链，在3月份的一次漏洞利用中损失了5.4亿美元的加密货币。虽然美国政府后来将此事件与朝鲜黑客组织Lazarus联系起来，但尚未披露有关如何执行该漏洞的全部细节。

TheBlock揭示是一个虚假的招聘Offer摧毁了Ronin。

金色数藏：开启数字藏品空投、优先购资格征集活动:据官方消息，金色数藏平台将于7月8日公开发售同道大叔十二星座夏日限定《嘻哈一夏》数字藏品，今日开启数字藏品空投、优先购资格报名活动，符合要求的用户可获得同道大叔夏日版画数字藏品空投、优先购买《嘻哈一夏》数字藏品的权益，可点击原文链接查看详细信息。

金色数藏是由金色财经孵化，依托腾讯至信链为底层技术的元宇宙数字艺术文化收藏平台。[2022/7/5 1:51:38]

据两名直接了解此事的人士称，AxieInfinity的一名高级工程师被申请了一家实际上并不存在的公司的工作。由于事件敏感性，他们不愿透露姓名。

金色财经挖矿数据播报 | ETH今日全网算力上涨1.76%:金色财经报道，据蜘蛛矿池数据显示：

BTC全网算力138.992EH/s，挖矿难度19.31T，目前区块高度650157，理论收益0.00000678/T/天。

ETH全网算力253.582TH/s，挖矿难度3264.93T，目前区块高度10941755，理论收益0.00764953/100MH/天。

BSV全网算力1.962EH/s，挖矿难度0.29T，目前区块高度654356，理论收益0.00045880/T/天。

BCH全网算力2.720EH/s，挖矿难度0.38T，目前区块高度654581，理论收益0.00033083/T/天。[2020/9/27]

AxieInfinity在鼎盛时期，东南亚工人甚至能够通过“边玩边赚”游戏谋生。去年11月，它的游戏内NFT拥有270日活跃用户和2.14亿美元的每周交易量——尽管此后这两个数字都大幅下降。

金色相对论 | JRR Crypto合伙人林尚儒：未来区块链游戏的市场空间广阔:在本期金色相对论之“Dapp游戏”中，针对金色财经内容合伙人佟扬“从投资者的角度看，目前区块链游戏是否是一个好的投资标的”的提问，JRR Crypto合伙人林尚儒（Czhang）表示，目前区块链游戏还是集中在等领域，较强的金融属性和博弈属性导致很多区块链游戏被贴上了短平快，fomo，割韭菜的一些负面标签。

其次，区块链游戏的门槛还是比较高，比如eos 50多万的注册地址目前真正用户可能不到10万，目前活跃的用可能主要是羊毛党和矿工；

第三，目前大部分游戏都比较同质化，代码互相抄袭，未经测试上线，规则不透明的情况时有发生，有可能会影响用户对eos 的dapp信心；

第四，区块链游戏的安全性也很重要，因为涉及到用户资产，所以会被黑客攻击的可能性很大，比如随机数的产生漏洞，智能合约的漏洞等；

我认为一款优秀的区块链游戏不应该只是为了短期的盈利，而理应是具备自我造血能力的，如果有效利用区块链独有的代币经济，新的游戏生态可以实现去中介化和内部激励，创造一个能够自循环，具有持续的生命力游戏世界。目前玩区块链游戏的用户只是数字货币玩家中的一部分人，尚未普及到整个币圈，离普通用户更是遥远，还处在边缘，这也说明未来区块链游戏的市场空间广阔。[2018/12/3]

据知情人士透露，今年早些时候，声称代表这家假公司的人联系了AxieInfinity开发商SkyMavis的员工，并鼓励他们申请工作。一位消息人士补充说，这些方法是通过专业网站LinkedIn进行的。

一位消息人士称，经过多轮面试后，SkyMavis的一名工程师获得了一份薪酬极其丰厚的工作。

伪造的“Offer”以PDF文档形式提供，工程师下载了该文档——这让间谍软件渗透到Ronin系统。从那里，黑客能够攻击并接管Ronin网络上九个验证者中的四个，他们再有一个验证者就可以完全控制Ronin桥。

在4月27日发布的关于黑客攻击的事后博客文章中，SkyMavis说：“员工不断受到各种社交渠道的高级钓鱼式网络钓鱼攻击，一名员工遭到入侵。该员工不再在SkyMavis工作。攻击者设法利用该访问权限来渗透SkyMavisIT基础设施并获得对验证节点的访问权限。”

验证者在区块链中完成各种功能，包括创建交易块和更新数据预言机。Ronin使用所谓的“权威证明”系统来签署交易，将权力集中在九个受信任的参与者手中。

区块链分析公司Elliptic在4月份就该事件发表的一篇博客文章解释说：“如果九个验证者中有五个批准，则可以将资金转出。攻击者设法获得了属于五个验证者的私钥，这足以窃取加密资产。”

但在通过虚假招聘广告成功渗透到Ronin系统后，黑客只控制了九个验证者中的四个——这意味着他们需要另一个验证者来控制。

SkyMavis在其复盘报告中透露，黑客设法使用AxieDAO——一个为支持游戏生态系统而设立的组织——来完成攻击。SkyMavis曾在2021年11月请求DAO帮助处理繁重的交易负载。

“AxieDAO允许SkyMavis代表其签署各种交易。这已于2021年12月停止，但未撤销许可名单访问权限，”SkyMavis在博客文章中说。“一旦攻击者能够访问SkyMavis系统，他们就能够从AxieDAO验证者中获取签名。”

黑客攻击一个月后，SkyMavis将其验证节点的数量增加到11个，并在博客文章中表示，其长期目标是拥有100多个。?

SkyMavis拒绝评论黑客是如何进行的。Linkin没有回应置评请求。

标签：区块链SKYMMAVSKY区块链dapp开发教程SKYM币KarmaverseSKYFT价格

火必热门资讯