Cryptovaluta til en værdi af omkring 625 millioner dollars er blevet stjålet fra Ronin, blockchainen bag det populære kryptospil Axie Infinity. Ronin og Axie Infinity-operatøren Sky Mavis afslørede bruddet i tirsdags og frøs transaktioner på Ronin-broen, som tillader indbetaling og udtrækning af midler fra virksomhedens blockchain.
Sky Mavis siger, at det arbejder sammen med retshåndhævelsen for at inddrive 173.600 Ethereum (i øjeblikket en værdi af omkring $600 millioner) og 25,5 millioner USDC (en kryptovaluta knyttet til den amerikanske dollar) fra den skyldige, som trak det tilbage fra netværket den 23. marts. Angrebet fokuserede på broen til Sky Mavis' Ronin blockchain, en mellemmand mellem Axie Infinity og andre kryptovaluta blockchains som Ethereum. Brugere kunne indbetale Ethereum eller USDC til Ronin og derefter købe ikke-fungible token-genstande eller valuta i spillet, eller de kunne sælge deres aktiver i spillet og hæve pengene.
Ifølge Sky Mavis, en angriber brugte hackede private sikkerhedsnøgler til at kompromittere netværksknuderne, der validerer overførsler til og fra Ronin blockchain. Det lod angriberen stille og roligt trække store mængder Ethereum og USDC tilbage. Overførslen blev opdaget i dag – næsten en uge senere – da en anden bruger forsøgte at hæve 5.000 Ethereum gennem broen.
“Som vi har set, er Ronin ikke immun over for udnyttelse”
Sky Mavis siger, at de “axie” NFT-tokens, som spillere skal købe for at få adgang til Axie Infinity, ikke er blevet kompromitteret, og heller ikke SLP- og AXS-kryptovalutaerne i spillet, der bruges til at bekæmpe og opdrætte de pokémon-lignende tegneserie-axolotler. (Afsløring: Adi købte tre akser for i alt $105 i sidste måned for at rapportere om spillet; axies sælger i øjeblikket fra omkring $25 stykket.) Men indefrysningen af udbetalinger og indskud låser effektivt mange nye spillere ude, og hacket forlader skæbnen for andre brugermidler på den pågældende Ronin blockchain. Sky Mavis siger, at det “arbejder sammen med retshåndhævende embedsmænd, retsmedicinske kryptografer og vores investorer for at sikre, at der ikke er tab af brugermidler,” og kalder det dens “topprioritet.”
Validatorknudepunkter er en funktion af proof-of-stake blockchains som Ronin, som er mindre energikrævende end proof-of-work-systemer som Bitcoin og Ethereum. Noderne gennemgår nye transaktioner for at bekræfte, at deres input og output matcher, og at autorisationssignaturer er gyldige, hvilket afviser alle transaktioner, der ikke er i overensstemmelse. Brug af et mindre antal noder er hurtigere og mere effektivt – men som hacket viser, kan det skabe sikkerhedsrisici, hvis et flertal af noderne er kompromitteret. Det er en potentiel sårbarhed for blockchains, der udråbes som både billigere og mere miljøvenlige end Ethereum.
Validatorknudepunkter er en nøglefunktion i mindre energiintensive blockchains
Ifølge Sky Mavis var Ronin-angrebet muligt delvist på grund af en genvej, som virksomheden havde taget for at aflaste en “enorm brugerbelastning” på sit netværk i november sidste år – måneder efter, at spillet eksploderede i popularitet i Filippinerne og andre lande, hvor spillere stolede på det som et fuldtidsjob. Systemet blev afbrudt i december, men de tilladelser, der tillod det, blev aldrig tilbagekaldt. Ud over at kompromittere fire af Sky Mavis' egne noder, udnyttede angriberen dem til at få adgang til en, der blev administreret af det community-ejede Axie DAO. Efter at have kompromitteret fem af de ni valideringsnoder, kunne angriberen effektivt tilsidesætte enhver transaktionssikkerhed og hæve de penge, de kunne lide.
Sky Mavis siger, at det vil øge det nødvendige antal noder til otte for transaktioner, og det vil genåbne Ronin-broen “på et senere tidspunkt”, når det er sikkert, at der ikke kan drænes flere midler. For nu ser Ronin-bruddet ud til at være det hidtil største hack af “decentraliserede finansnetværk”, der kommer i hælene på et tyveri på $322 millioner fra broprotokollen Wormhole i sidste måned.
“Som vi har set, er Ronin ikke immun over for udnyttelse, og dette angreb har forstærket vigtigheden af at prioritere sikkerhed, forblive på vagt og afbøde alle trusler,” sagde virksomheden i sin meddelelse. “Vi ved, at tillid skal optjenes, og vi bruger enhver ressource til vores rådighed til at implementere de mest sofistikerede sikkerhedsforanstaltninger og processer for at forhindre fremtidige angreb.”