Hack d’Axie Infinity : 173 600 ETH perdus à cause d’une fausse offre d’emploi

Un hack peut en cacher un autre – Le mercredi 30 mars 2022 Ronin, la plateforme de cryptomonnaies d’Axie Infinity révélait avoir été victime d’un hack sur son exchange décentralisé (DEX) Katana. Ruiné et vulnérable, les gendarmes de la blockchain tels que Binance ou encore Elliptic ont prêté main forte à Sky Mavis, la société mère de l’écosystème Axie Infinity pour l’aider à démêler ce sac de nœuds. Ronin, malgré ses tentatives de transparence à travers ses réseaux, n’avait cependant pas éclairé certaines zones d’ombre. Nos confrères de The Block les ont mises en lumières.

Axie Infinity : retour sur le hack du siècle

Faisons un point sur ce que l’on sait. Le 30 mars 2022, Katana, l’exchange décentralisé de Ronin s’est vu attaqué et victime du vol d’une de son pool de liquidité. 173 600 ETH et 25,5 millions d’USDC s’évaporent alors sur la blockchain, dispatchés sur plusieurs wallet.

Officiellement, Axie Infinity explique que c’est une demande de retrait de 5 000 ETH qui a lancé l’alerte. La liquidité était à ce moment-là insuffisante. Par la suite, l’analyse de la blockchain a permis de déterminer que le pillage avait eu lieu bien avant, le 23 mars. Aidé par de nombreuses enquêtes, nous avons ensuite appris que le groupe Lazarus, les pirates nord-coréens, serait à l’origine de l’attaque.

Quant aux origines de la faille et la porte dérobée utilisée par les hackers, les informations restaient floues. Axie Infinity avait alors insisté sur le fait que les développeurs de son jeu étaient vulnérables et sujets à de multiples tentatives d’attaques sur le réseau. Ainsi, dans un article de blog publié le 27 avril, soit près d’un mois après le hack, Sky Mavis déclare :

« Les employés de Sky Mavis sont soumis à des attaques de hameçonnage avancées constantes sur divers canaux sociaux et un employé a été compromis. Cet employé ne travaille plus chez Sky Mavis. L’attaquant a réussi à tirer parti de cet accès pour pénétrer dans l’infrastructure informatique de Sky Mavis et accéder aux nœuds de validation. »

Axie Infinity Origin, V3 du jeu play to earn devait sortir son nouveau design aux couleurs très vives au moment du hack.
Le hack d’Axie Infinity s’est produit alors que le jeu play to earn allait sortir sa nouvelle version : Axie Origin

>> Vous cherchez une plateforme crypto dûment régulée ? Inscrivez-vous sur Binance (lien affilié) <<

Ronin s’écroule en un clic

Il y avait donc encore quelques zones d’ombres. Comment les hackers ont-ils pu accéder au réseau d’un développeur d’Axie Infinity ? Nos confrères de The Block font alors taire les bruits de couloir. Leurs sources, qu’ils souhaitent garder anonymes, sujet sensible oblige, divulguent le mode opératoire utilisé par les suspects.

Il semblerait donc que l’impulsion qui a permis au hacker d’attaquer Katana, soit, une fausse offre d’emploi sur LinkedIn, le réseau de relations professionnelles. L’ingénieur aurait alors été dupé en postulant dans une entreprise fictive. Il a ensuite téléchargé l’offre sous forme d’un document PDF compromis. Cette attaque phishing permettrait ainsi aux hackers de rentrer dans son système.

L’accès au système de l’ingénieur lui a ainsi assuré d’avoir accès à 4 clés de validation. Il lui en manquait alors plus qu’une pour avoir les 5 signatures nécessaires sur les 9 demandées. Pour la dernière, l’attaquant s’est servi d’une faille concernant Axie DAO. Créée pour pallier les problèmes de flux intenses des transactions, cette solution était temporaire pendant la fin de l’année 2021. Toutefois, personne n’a révoqué les autorisations d’Axie DAO lorsque l’assistance apportée avait pris fin.

« Cela remonte à novembre 2021 lorsque Sky Mavis a demandé l’aide d’Axie DAO pour distribuer des transactions gratuites en raison d’une immense charge d’utilisateurs. L’Axie DAO a autorisé Sky Mavis à signer diverses transactions en son nom. Cela a été interrompu en décembre 2021, mais l’accès à la liste d’autorisation n’a pas été révoqué. »

Les pièces du puzzle s’assemblent, et ce hack dorénavant passé continue de faire couler de l’encre. Le géant des play to earn a compris la leçon. Il a d’ores et déjà augmenté son réseau à 11 validateurs, commencé à rembourser ses utilisateurs et rétabli une circulation complète des échanges dans son écosystème. L’objectif étant durablement d’en avoir 100. Au-delà du hack d’Axie Infinity cette affaire révélée par The Block nous rappelle par ailleurs, l’importance de la sécurité sur les réseaux sociaux. En témoigne le nombre grandissant de hacks depuis le début de l’année 2022 : Axie Infinity, Harmony, Optimism, Bored Ape Yatch.

Fuyez comme la peste les propositions trop belles pour être vraies et prenez l’habitude de faire preuve d’une saine méfiance. En revanche, apprenez également à accorder une confiance raisonnable aux acteurs respectables et reconnus de l’écosystème. Inscrivez-vous sur Binance, leader incontesté du secteur crypto. De plus, cet exchange de référence a obtenu le statut de PSAN en France (lien affilié).

Magali

De simple lectrice en 2017 à rédactrice en chef depuis septembre 2023, j'allie maintenant l'écriture à mes connaissances à travers mes articles pour Le Journal du Coin. Mon seul but est celui de vous informer sur l'univers de demain : celui de la blockchain, des cryptomonnaies, des NFT et du metaverse. Persuadée que Bitcoin est une révolution, j'entends participer à la vulgarisation de notre écosystème.