Der 540-Millionen-Dollar-Hack der Ronin Bridge von Axie Infinity Ende März 2022 war die Folge eines ehemaligen Mitarbeiters, der auf ein betrügerisches Jobangebot auf LinkedIn hereingefallen war, wie sich herausstellte.
Einem Bericht von The Block zufolge, der letzte Woche unter Berufung auf zwei mit der Angelegenheit vertraute Personen veröffentlicht wurde, wurde ein leitender Ingenieur des Unternehmens dazu verleitet, sich auf eine Stelle bei einem nicht existierenden Unternehmen zu bewerben.
„Nach mehreren Gesprächsrunden wurde einem Sky Mavis-Ingenieur eine Stelle mit einem äußerst großzügigen Vergütungspaket angeboten“, berichtete The Block.
Das Angebotsdokument diente anschließend als Kanal für die Verbreitung von Schadsoftware, die in das Netzwerk von Ronin eindringen sollte und so einen der bisher größten Hacks in der Kryptobranche ermöglichte.
„Die Mitarbeiter von Sky Mavis sind ständigen Spearphishing-Angriffen auf verschiedenen sozialen Kanälen ausgesetzt und ein Mitarbeiter wurde kompromittiert“, erklärte das Unternehmen in einer Analyse im April.
„Dieser Mitarbeiter arbeitet nicht mehr bei Sky Mavis. Dem Angreifer gelang es, diesen Zugang zu nutzen, um in die IT-Infrastruktur von Sky Mavis einzudringen und Zugang zu den Validierungsknoten zu erhalten.“
Im April 2022 bezog das US-Finanzministerium die von Nordkorea unterstützte Lazarus Group in den Vorfall ein und wies darauf hin, dass das gegnerische Kollektiv in der Vergangenheit immer wieder Angriffe auf den Kryptowährungssektor verübt hat, um Geld für das Eremitenreich zu sammeln.
Gefälschte Jobangebote werden schon seit langem von der fortschrittlichen, hartnäckigen Bedrohung als Social-Engineering-Köder eingesetzt. So gab es bereits im August 2020 eine Kampagne, die von der israelischen Cybersicherheitsfirma ClearSky als „Operation Dream Job“ bezeichnet wurde.
In seinem T1 Threat Report für 2022 stellte ESET fest, dass Akteure, die unter dem Dach von Lazarus operieren, gefälschte Jobangebote über soziale Medien wie LinkedIn als Strategie für ihre Angriffe auf Verteidigungsunternehmen und Luft- und Raumfahrtunternehmen einsetzen.
Während die Ethereum-Brücke von Ronin im Juni, drei Monate nach dem Hack, wieder in Betrieb genommen wurde, wird die Lazarus-Gruppe auch hinter dem jüngsten Diebstahl von 100 Millionen Dollar Altcoin von der Harmony Horizon Bridge vermutet.
Die Erkenntnisse kommen auch daher, dass Blockchain-Projekte rund um das Web 3.0 in den ersten sechs Monaten dieses Jahres mehr als 2 Milliarden Dollar durch Hacks und Exploits verloren haben, wie das Blockchain-Prüfungs- und Sicherheitsunternehmen CertiK letzte Woche in einem Bericht bekannt gab.