今年早些时候，黑客诱骗Axie Infinity的一名高级工程师申请了一家虚构的公司的工作，最终导致 Axie Infinity遭受5.4亿美元加密货币的损失。以下是The Block 报道的黑客入侵Axie Infinity的细节。

很少能有求职经历比Axie Infinity 高级工程师的遭遇更刺激了。他对加入一家虚构公司的兴趣最终促成了加密行业最大的黑客攻击之一。

去年11月，Axie Infinity游戏内NFT的日活跃用户一度达到270万，周交易额达到2.14亿美元（这两个数字后来都大幅下降）。

而今年3月，P2E 链游龙头 Axie Infinity的以太坊侧链Ronin损失了价值 5.4 亿美元的加密货币。虽然美国政府后来将这一事件与朝鲜黑客组织Lazarus联系在一起，但有关这次攻击是如何进行的全部细节尚未披露。其实毁掉Ronin的仅仅是一个虚假的招聘广告。两名了解此事的人士表示，Axie Infinity的一名高级工程师被骗申请了一家实际上并不存在的公司的职位。由于事件的敏感性，这两名人士要求匿名。

据知情人士透露，今年早些时候，自称代表这家假冒公司的人通过LinkedIn 和 WhatsApp 勾搭了Axie Infinity开发商Sky Mavis的员工，利用新工作机会引诱他。有消息称，在经过多轮面试后，Sky Mavis的一名工程师获得了一份薪酬极其丰厚的工作。

这个虚假 Offer 是以PDF文件的形式发送的，工程师下载了这个文件——这让木马得以渗透到Ronin的系统中。从那时起，黑客可以攻击并接管Ronin网络上9个验证器中的4个，只差1个验证器无法完全控制。

Sky Mavis在4月27日发布的一篇博文中对此次黑客攻击进行了分析，文章称：“员工在各种社交渠道上不断受到高级钓鱼网络攻击，其中一名员工遭到了攻击。这名员工已经不在Sky Mavis工作了。攻击者成功利用该访问权限渗透Sky Mavis的IT基础设施，并获得了对验证器节点的访问权限。”

验证器在区块链中可实现各种功能，包括创建交易区块和更新数据预言机。Ronin使用所谓的“授权证明”（proof of authority）系统来签署交易，将权力集中在9个可信任的验证者手中。

区块链分析公司Elliptic在今年4月的一篇博客文章中解释说：“如果九个验证者中有五个批准，资金就可以转移出去。攻击者设法获得了5个验证器的私有加密密钥，这足以窃取加密资产。”

但在通过假招聘广告成功渗透到Ronin的系统后，黑客只控制了9个验证器中的4 个——这意味着黑客还需要另一个才能控制Ronin系统。

在事后分析中，Sky Mavis透露，黑客成功地使用了AxieDAO（一个支持游戏生态系统的组织）来完成盗取。Sky Mavis曾在2021年11月请求AxieDAO帮助处理交易负载问题。