Nous vous parlons souvent d’arnaques qui promettent des montagnes d’or alors qu’elles ne font que vider votre compte en banque. De même, les cybercriminels peuvent mettre la main sur les fonds d’une entreprise en exploitant l’avidité des employés et leur manque d’attention.
C’est exactement ce qui s’est passé avec le système de blockchain Ronin Networks, créé par Sky Mavis pour le jeu Play To Earn (P2E) Axie Infinity. Un employé de Sky Mavis a téléchargé un fichier PDF qui contenait un logiciel espion (spyware), ce qui a donné lieu à un des plus gros vols de cryptomonnaie de l’histoire. L’entreprise a perdu 173 600 ETH et 25,5 millions de USDC, soit près de 540 millions de dollars au moment de l’incident. Nous analysons cette attaque en détail et vous donnons quelques conseils pour vous protéger.
Quelques mots sur Axie Infinity et Ronin Networks
Axie Infinity est un jeu vidéo en ligne où les joueurs gagnent de la cryptomonnaie grâce à des créatures fantastiques connues comme « axies » qui peuvent être « élevées » afin de faire des compétitions et d’être revendues aux autres joueurs. Pour les amateurs de jeu vidéo, les « axies » sont des animaux adorables, mais ce sont surtout des jetons non fongibles (NFT).
Sorti en 2018, Axie Infinity a rapidement attiré l’attention du public. À son apogée, les joueurs pouvaient tellement gagner que, dans certaines régions, et notamment en Asie du Sud-Est, ce jeu est devenu un travail à temps complet. En novembre 2021, il a battu son propre record avec 2,7 millions de joueurs par jour et le chiffre d’affaires de l’an dernier a atteint 215 millions de dollars par semaine. Pourtant, pendant l’été 2022, l’entreprise ne gagne qu’un million de dollars par semaine.
Dans l’écosystème Axie Infinity, les paiements se font dans la monnaie du jeu, Smooth Love Potion (SLP), et cette dernière est basée sur la blockchain Ethereum. Pour que les joueurs puissent facilement acheter et vendre leur SLP en une cryptomonnaie courante sans avoir à payer de frais élevés, les développeurs ont créé la plateforme Ronin. C’est cette plateforme qui a attiré l’attention des cybercriminels.
Une offre alléchante : comment les escrocs ont dupé les développeurs
Pour accéder à la plateforme, les cybercriminels ont lancé une attaque ciblée sur les employés de Sky Mavis. Ils ont recueilli des informations sur l’entreprise et ont élaboré une arnaque à partir d’une offre d’emploi et d’un salaire très attrayant.
Cette méthode consistait à envoyer (très certainement sur LinkedIn) cette offre d’emploi séduisante à un ingénieur supérieur, qui aurait dû faire plus attention. Après avoir passé haut la main toutes les étapes du processus de sélection, l’employé a, comme on pouvait s’y attendre, reçu cette offre merveilleuse sous la forme d’un fichier PDF. Une fois le fichier téléchargé, le logiciel espion s’est libéré et était prêt à se propager dans le réseau de l’entreprise.
Le logiciel espion passe à l’action : le retrait des fonds
Les cybercriminels ont utilisé un programme malveillant pour accéder aux clés privées des validateurs du réseau, ceux qui vérifient et confirment les transactions en cryptomonnaie. Il y avait neuf validateurs dans Ronin Networks au moment de l’attaque, et au moins cinq d’entre eux devaient valider le virement pour le confirmer. Finalement, les cybercriminels ont réussi à compromettre quatre validateurs au sein de l’entreprise et un cinquième dans l’organisation autonome décentralisée Axie DAO, un endroit où cela aurait dû être impossible, si ce n’est à cause d’une négligence de Sky Mavis.
Il s’avère qu’en novembre 2021, à cause du volume important de transactions et de la charge de travail des validateurs, l’entreprise a autorisé Axie DAO à valider les virements. Un mois après, les choses s’étaient calmées et l’entreprise n’avait plus besoin de l’aide d’Axie DAO. Pourtant, les droits de validation des transactions ne lui ont pas été retirés, ce qui a joué en faveur des cybercriminels. Après être entrés dans le système de Sky Mavis, les escrocs ont eu accès à Axie DAO, ce qui leur a permis d’obtenir le cinquième validateur dont ils avaient besoin pour retirer les fonds et les transférer des comptes des utilisateurs vers le leur.
La réponse de Sky Mavis
Lorsque l’attaque a été découverte, Sky Mavis a agi de manière responsable et a pris des mesures pour renforcer la sécurité. L’entreprise a fait appel aux experts en sécurité de Verichains et CertiK et a réalisé un audit minutieux de Ronin Networks. Sky Mavis a aussi augmenté le nombre de validateurs (11 désormais), et a promis que ce chiffre allait augmenter progressivement afin d’en avoir au moins 100. Plus le nombre total de validateurs est élevé, plus il faut en compromettre pour effectuer des transactions non autorisées. Ainsi, la hausse de ce nombre devrait, en théorie, rendre les attaques plus difficiles.
Étant donné que les fonds volés appartiennent aux joueurs d’Axie Infinity, depuis le 28 juin, Sky Mavis a commencé à verser une indemnisation aux victimes. Pour ce faire, l’entreprise a tiré profit de ses ressources internes et des 150 millions de dollars que Binance lui a remis début avril.
Comment vous protéger
Lorsque les cybercriminels planifient une attaque ciblée, ils étudient minutieusement la victime afin de découvrir ses points faibles. Il peut s’agir de failles de sécurité dans les dispositifs et les programmes, ou d’un facteur humain. Même si les « héros » de cet article ont de l’expérience en informatique et sont des spécialistes, les escrocs ont réussi à les duper. Pour éviter de vivre la même situation et pour protéger vos données, votre argent et vos jetons, vous devez faire attention et ne pas négliger les mesures de sécurité.
- Méfiez-vous des offres généreuses inattendues, qu’il s’agisse du métier de vos rêves avec un beau salaire, d’une récompense, de l’héritage d’un membre éloigné de votre famille ou d’autres accessoires tombés du ciel.
- Évitez de télécharger les documents envoyés par un expéditeur inconnu, et ne cliquez pas sur les liens reçus par e-mail ou par message. Cela est d’autant plus vrai si vous êtes connecté au réseau de l’entreprise et que les fichiers ou les liens reçus n’ont rien à voir avec votre travail.
- Installez une solution de sécurité fiable qui empêche les programmes malveillants de s’exécuter sur votre dispositif.