Hoe hackers de grootste crypto diefstal ooit pleegden met een nep vacature

XRP en DOGE stijgen sterkst in top 10, Axie Infinity stijgt zelfs 40%

Foto: Vladimir Kazakov/Shutterstock

Ronin, de op Ethereum (ETH) gebouwde sidechain waar Axie Infinity (AXS) op draait, raakte in maart $540 miljoen kwijt door een slim opgezette hack. Uiteindelijk bleek dat de Noord-Koreaanse bende Lazarus achter de grootste hack ooit uit de crypto-wereld zat. Het was echter nog onbekend hoe de hackers het enorme bedrag hadden gestolen, maar daar is nu meer informatie over uitgekomen.

Hoe wisten de hacker het geld te stelen?

Uit twee anonieme bronnen blijkt dat de hackers een senior engineer bij Axie Infinity hadden benaderd met een nep vacature. De vacature werd zogenaamd aangeboden via LinkedIn, maar het bedrijf bestond helemaal niet.

Deze werknemer was zelfs door meerdere sollicitatierondes gegaan voordat de senior engineer werd ‘aangenomen’. Deze persoon kreeg een prachtige baan aangeboden met erg goede voorwaardes.

Dit aanbod bleek achteraf natuurlijk nep te zijn. De werknemer kreeg het aanbod in de vorm van een PDF document die hij moest downloaden. Op het moment dat hij het bestand had gedownload, had hij ook een virus gedownload waarmee de hackers in het systeem van Ronin konden komen.

Vanuit het systeem van Ronin konden de hackers hun aanval plegen. Dit deden zij door vier van de negen validators op het Ronin netwerk over te nemen, waardoor ze slechts èèn validator te kort kwamen voor de totale controle over het netwerk.

De vijfde validator

Toch wisten de hackers uiteindelijk ook de vijfde validator over te nemen via de Axie Decentralized Autonomous Organization (DAO). Dit kwam doordat Sky Mavis, de ontwikkelaar van Axie Infinity, extra rechten kreeg om transacties goed te kunnen keuren.

“De Axie DAO heeft Sky Mavis op de toelatingslijst geplaatst om namens haar verschillende transacties te ondertekenen. Dit werd stopgezet in december 2021, maar de toegang tot de toelatingslijst werd niet ingetrokken. Zodra de hackers toegang kreeg tot Sky Mavis-systemen, konden ze de handtekening krijgen van de Axie DAO-validator.”

Aldus Sky Mavis in een blogpost. Dit was de laatste stap die de hackers nodig hadden om het geld te stelen en de inbraak een succes te maken.

Wessel Kersting maakt sinds april 2019 deel uit van Crypto Insiders. Via cryptodienstverlener SATOS kwam hij in contact met het platform. Hij heeft financial services management gestudeerd aan de HvA en naast zijn werk als Compliance Officer voor een cryptocurrency exchange, schrijft hij dagelijks Premium analyses voor Crypto Insiders. Wessels interesse in cryptocurrency komt voort uit zijn financiële achtergrond en passie voor beleggen en handelen. Hij heeft meegeholpen aan het opzetten van de Discord omgeving van Crypto Insiders en is gespecialiseerd in technische analyse.