Des pirates ont volé 560 millions d’euros en cryptomonnaies grâce à une fausse offre d’emploi

On sait désormais comment le jeu Axie Infinity s’est fait pirater, menant au plus grand vol de cryptomonnaies de l’Histoire. Selon un rapport de The Block, les hackers auraient utilisé une fausse offre d’emploi pour gagner les accès d’un des employés de Sky Mavis à la blockchain Ronin. C’est cet accès qui a permis aux pirates de dérober l’équivalent de 560 millions d’euros.

Le 23 mars dernier, le jeu Axie Infinity a été victime d’un piratage de grande ampleur. Basé sur la blockchain Ronin, le titre ressemble peu ou prou à un Pokémon, à ceci près qu’il permet de gagner des cryptomonnaies. Autant dire que le succès a rapidement été au rendez-vous, avec 15 millions de dollars de revenus quotidiens enregistrés à son apogée. Mais tout a basculé le jour où la blockchain s’est fait dérober 625 millions de dollars.

Encore maintenant, il s’agit du plus gros vol de cryptomonnaies de l’Histoire. Pendant longtemps, l’enquête a patiné. Le FBI a certes accusé Lazarus et BlueNorOff, deux groupes de hackers nord-coréens, d’être derrière le casse du siècle. De son côté, Sky Mavis, le studio derrière le jeu, affirme que le piratage a eu lieu suite à une campagne de phishing ciblant ses employés. Mais il semblerait que la réalité soit toute autre.

Une fausse offre d’emploi a mené au casse du siècle

Selon le dernier rapport de The Block, tout aurait commencé par une fausse offre d’emploi. En se faisant passer pour des recruteurs, les pirates ont ciblé un employé senior de Sky Mavis, prétendant vouloir l’embaucher. Ils ont alors envoyé à ce dernier un fichier PDF contenant la fameuse offre d’emploi, fichier PDF qui, vous l’aurez compris, était infecté par un spyware. Grâce à celui-ci, les pirates ont obtenu 4 des 9 validateurs obligatoires pour contrôler la blockchain Ronin.

Sur le même sujet : Elle vole 3,6 milliards d’euros en cryptomonnaies, le FBI la place dans le top 10 des criminels les plus recherchés

Explications. Ronin est ce qu’on appelle une blockchain « proof-of-authority ». Autrement dit, une poignée de personnes détiennent le contrôle complet du système, à savoir, dans le cas présent, 9 ingénieurs de chez Sky Mavis. Pour prendre le contrôle, il faut au minimum 5 validateurs sur 9. Il n’en manquait donc plus qu’un aux pirates pour arriver à leurs fins. C’est en gagnant accès au DAO d’Axie Infinity qu’ils ont obtenu ce dernier validateur.

Sky Mavis a depuis précisé que l’employé à l’origine du hack ne travaille plus pour le studio, assurant au passage que les autres salariés ” sont constamment soumis à des attaques avancées de spear-phishing sur différents canaux sociaux ». De plus, l’entreprise possède désormais 11 validateurs, afin d’augmenter la sécurité de la blockchain Ronin. Malgré ses efforts, allant même jusqu’à rembourser les joueurs à hauteur de 150 millions de dollars, la popularité du jeu n’a jamais regagné ses niveaux d’antan.

Source : The Block