Axie Infinity : un hack très élaboré via une fausse offre d’emploi sur LinkedIn

Le hack de Axie Infinity venait d'une fausse offre d'emploi sur LinkedIn. Parfait exemple d'ingénierie sociale.

Axie Infinity était le principal exemple sur le marché du crypto gaming l’année dernière, avec une formule play-to-earn qui a permis d’atteindre pas moins de 2,7 millions de joueurs actifs quotidiens en novembre dernier. Mais tout ceci s’est écroulé en mars, lorsque des hackers ont dérobé l’équivalent de 625 millions de dollars depuis la sidechain Ronin, liée à Ethereum, qui fait tourner tout le jeu. Aujourd’hui, l’on apprend que la source de ce piratage était plutôt inattendue : une fausse offre d’emploi sur LinkedIn.

Le hack de Axie Infinity venait d’une fausse offre d’emploi sur LinkedIn

Comme The Block le rapporte, d’après deux sources distinctes, les hackers ont infiltré le propriétaire de Axie Infinity, le réseau Sky Mavin, en envoyant des PDF infestés par un spyware à un employé. Cette personne pensait accepter une offre d’emploi bien payée d’une autre entreprise, entreprise qui n’a jamais réellement existé. Selon le gouvernement américain, le groupe de hackers nord-coréen Lazarus était derrière cette attaque.

« Les employés sont la cible constante d’attaques sophistiquées de spear-phishing sur divers canaux sociaux et un employé a été compromis », expliquait Sky Mavis dans un post de blog après le hack. « Cet employé ne travaille plus chez Sky Mavis. L’attaquant est parvenu à utiliser cet accès pour pénétrer l’infrastructure IT de Sky Mavis et obtenir un accès aux nœuds de validation. »

Parfait exemple d’ingénierie sociale

Axie Infinity a repris son activité la semaine dernière et repose toujours sur la sidechain Ronin, mais avec des mesures de sécurité renforcées. L’entreprise a aussi augmenté le nombre de nœuds de validation à 11 en avril, contre seulement 9 auparavant, ce qui rend plus difficile aux hackers la prise de contrôle du réseau. (Lazarus avait obtenu l’accès à 5 nœuds pour réaliser ce hack, y compris un nœud de Axie DAO.) Et elle implémente par ailleurs un système de « coupe-circuit » pour identifier les gros retraits.

Bien que ce hack ait été méticuleusement planifié et qu’il ait demandé de grandes connaissances techniques, à la base, on retrouve une fois encore une vulnérabilité des plus classiques : l’ingénierie sociale.