„Axie Infinity“ ist wohl eines der bekanntesten Blockchain-Spiele im Krypto-Bereich. Ende März dieses Jahres wurde dessen Blockchain von Angreifern gehackt, die Ethereum und USDC (Stablecoin) im Wert von rund 540 Millionen US-Dollar erbeuteten. Neuen Informationen der Krypto-Newsseite The Block zufolge kam der Hack aufgrund eines Fake-Jobangebots auf Linkedin zustande.

Demnach haben die Hacker ein Jobangebot erstellt und damit gezielt Mitarbeiter von Sky Mavis, dem Entwickler von „Axie Infinity“, angesprochen. Die Hacker sollen sogar mehrere Vorstellungsgespräche mit Mitarbeitern von Sky Mavis geführt haben.

Nach diesen Vorstellungsgesprächen haben die Kandidaten dann ein Angebot von dem Fake-Unternehmen in Form eines PDF-Dokuments bekommen. Ein Softwareingenieur von Sky Mavis hat sich dieses Dokument heruntergeladen und damit unwissentlich Spyware auf seinem PC installiert.

Das deckt sich mit einem Bericht, den Sky Mavis nach der Attacke auf der eigenen Website veröffentlicht hatte. Dort steht Folgendes: „Mitarbeiter sind ständig fortgeschrittenen Spear-Phishing-Angriffen auf verschiedenen sozialen Kanälen ausgesetzt, und ein Mitarbeiter wurde kompromittiert. Dieser Mitarbeiter arbeitet nicht mehr bei Sky Mavis. Dem Angreifer gelang es, diesen Zugriff zu nutzen, um in die IT-Infrastruktur von Sky Mavis einzudringen und Zugriff auf die Validierungs-Nodes zu erhalten.“

Die Blockchain, mit der „Axie Infinity“ arbeitet, nutzt das sogenannte „Proof of Authority“-System, um Transaktionen freizugeben. Das bestand im März aus nur insgesamt neun Nodes. Wenn also eine Person oder Gruppe Zugriff auf fünf Nodes oder mehr hat, kann diese Person oder Gruppe die Transaktionen der Blockchain kontrollieren.

Dadurch, dass die Hacker Zugriff auf den PC des Mitarbeiters hatten, konnten sie auf vier dieser Nodes zugreifen. Auf den letzten nötige Knotenpunkt haben sie Zugriff durch die Axie-DAO bekommen. Das ist eine Gruppe von Menschen, die das Ökosystem des Spiels betreuen. Die so verteilten Nodes sollen sicherstellen, dass weder das Unternehmen noch die Axie-DAO selbstständig Transaktionen verifizieren können.

Im November 2021 allerdings hatte Sky Mavis die DAO gebeten, Zugriff auf die Validator-Node zu gewähren, da es dort zu einer ungewöhnlich großen Anzahl an Transaktionen kam und die Validierung so schneller ginge. Dieser Zugriff wurde allerdings nie widerrufen. So konnten die Hacker mit nur einem Zugriffspunkt die Kontrolle über fünf der neun Nodes gewinnen und sich Ethereum und USDC transferieren, da sie diese Transaktionen selbstständig genehmigen konnten.

Rund einen Monat nach dem Hack hat Sky Mavis die Zahl der Nodes von neun auf elf erhöht, um die Blockchain sicherer vor solchen Angriffen zu machen. Ziel seien mehr als 100 Nodes. Bei den Angreifern handelt es sich laut dem FBI um die nordkoreanische Hackergruppe Lazarus, wie Sky Mavis berichtet.

Zudem hat das Unternehmen im Nachhinein rund 150 Millionen Dollar gesammelt, die dazu verwendet werden sollen, die Verluste der Spieler zurückzuerstatten.