Klon Pokémon NFT, Axie Infinity, berubah dari terkenal karena pemain yang mengambil untung dari penipuan game “play-to-earn” menjadi terkenal karena diretas dari $ 540 juta dalam cryptocurrency.
Bagi mereka yang tidak terbiasa dengan grift Axie, pengembang Sky Mavis mengembangkan sidechain terkait Ethereum yang disebut Ronin Network dan mencangkok pada game tentang bertarung dan membiakkan monster lucu yang disebut Axie Infinity.
Di game tersebut pemain diundang untuk mendapatkan cryptocurrency berbasis Ethereum, awalnya game tersebut menghasilkan keuntungan besar karena pemain baru mencurahkan waktu dan uang mereka ke dalam platform. Namun pada awal tahun ini, perusahaan itu menghadapi segala macam hambatan, mulai dari pertumbuhan yang stagnan hingga inflasi mata uang dan, yang paling penting, salah satu peretasan crypto terbesar sepanjang masa.
Pengembang Sky Mavis mengungkapkan kembali pada bulan April bahwa pelanggaran keamanan dimungkinkan oleh seorang karyawan yang “dikompromikan” oleh “serangan spear-phishing tingkat lanjut.” “Penyerang berhasil memanfaatkan akses itu untuk menembus infrastruktur TI Sky Mavis dan mendapatkan akses ke node validator,” tulis perusahaan saat itu.
The Block sekarang melaporkan, berdasarkan dua sumber yang mengetahui langsung insiden tersebut, bahwa karyawan tersebut adalah seorang insinyur senior di Axie Infinity dan cara untuk menyusup ke komputer mereka adalah tawaran pekerjaan yang terlalu bagus untuk menjadi kenyataan.
Menurut The Block, penipu yang mewakili perusahaan palsu mendekati insinyur melalui LinkedIn, mendorong mereka untuk melamar pekerjaan, mengadakan beberapa putaran wawancara, dan akhirnya membuat tawaran pekerjaan yang mencakup “paket kompensasi yang sangat murah hati.” Namun tawaran itu tertuang dalam file PDF.
Setelah Mark mengunduhnya, spyware dilaporkan dapat menyusup ke sistem Jaringan Ronin dan memberi peretas akses ke empat dari lima node (dari total sembilan) yang mereka butuhkan untuk diuangkan. Akses ke yang kelima diperoleh melalui sesuatu yang disebut Axie DAO—organisasi terpisah yang diminta oleh Sky Mavis untuk membantu masuknya transaksi selama puncak popularitas Axie Infinity. Sky Mavis gagal menghapus akses DAO dari sistemnya setelah bantuannya tidak lagi diperlukan.
Salah satu daya tarik teknologi blockchain yang banyak digembar-gemborkan adalah kemampuannya untuk membuat basis data publik dan dapat diakses oleh semua orang sambil tetap menjaganya tetap aman. Tetapi setiap pintu yang terkunci, tidak peduli seberapa kuatnya, hanya akan seaman orang yang memegang kuncinya.
Di sini, dengan Axie Infinity, kerentanan karyawan Sky Mavis diperparah oleh pintasan ceroboh yang diperlukan untuk tetap berada di puncak pertumbuhan meteorik game musim gugur lalu. (Sky Mavis telah meningkatkan total node validatornya menjadi 11, dengan rencana jangka panjang untuk memiliki lebih dari 100.)
Tentu saja, sementara itu perusahaan masih perlu membayar kembali semua orang yang kehilangan uang dalam peretasan. Pada bulan April, ia mengumpulkan $150 juta lagi, sebagian dalam upaya untuk membuat playerbase yang ada menjadi utuh kembali.
Pada bulan yang sama, FBI mengidentifikasi peretas Korea Utara “Lazarus Group” sebagai pelaku di balik serangan Axie Infinity. Badan penegak hukum federal juga baru-baru ini memperingatkan perusahaan agar tidak secara tidak sengaja mempekerjakan peretas Korea Utara sebagai spesialis TI jarak jauh.
Sumber: Kotaku
