Haker izvlači 622 milijuna dolara iz bočnog lanca Ronin Ethereum Axie Infinityja

Ronin, an Ethereum sidechain razvijen za hit NFT igru Axie Beskonačnost, bio je na meti hakiranja u kojem je iz njegovog mosta izvučena kriptovaluta u vrijednosti od 625 milijuna dolara.

Programer Sky Mavis objavila je vijest danas, pišući da se eksploatacija dogodila 23. ožujka, ali otkrivena tek ranije danas. Napadač je koristio "hakirane privatne ključeve" za izvršenje eksploatacije, prema izvješću tima, te je tako mogao krivotvoriti transakcije kako bi zatražio sredstva.

Sve u svemu, napadač je uzeo 173,600 WETH ili Wrapped Ethereum (gotovo 597 milijuna dolara) i 25.5 milijuna USDC stablecoin (25.5 milijuna dolara), dodajući oko 622 milijuna dolara vrijednih kripto fondova od ovog pisanja. Većina ukradenih sredstava je još uvijek sjedi u hakerskoj novčanik.

Prema izvješću, napadač je mogao potpisati transakcije s pet od devet trenutnih validatorskih čvorova na Ronin mreži, što je prag potreban za odobravanje potpisa. U konačnici, napadač je dobio pristup Sky Mavisovim vlastitim četiri validatora, zajedno s jednim kojim upravlja Axie DAO.

“Šema ključa validatora postavljena je tako da bude decentralizirana tako da ograničava vektor napada, sličan ovome, ali je napadač pronašao backdoor kroz naš RPC čvor bez plina, koji su zloupotrijebili da bi dobili potpis za Axie DAO validator ”, stoji u izvješću.

"Ovo seže do studenog 2021. kada je Sky Mavis zatražio pomoć od Axie DAO-a za distribuciju besplatnih transakcija zbog golemog opterećenja korisnika", nastavlja se. “Axie DAO je dopustila Sky Mavisu da potpisuje razne transakcije u njegovo ime. To je prekinuto u prosincu 2021., ali pristup popisu dopuštenih nije opozvan.”

Sky Mavis je rekao da je prisluškivao organe za provođenje zakona, forenzičke kriptografe u Chainalysisu i svoje vlastite investitore kako bi se "uvjerili da sva sredstva budu vraćena ili nadoknađena".

Za vrijeme intervju na pozornici na današnjoj konferenciji NFT LA, suosnivač Axie Infinityja Jeff Zirlin opisao ju je kao "jedan od većih hakova u povijesti". Dio istrošenih sredstava već je poslan iz napadačevog novčanika na mjenjačnice, a Zirlin je rekao da “postoji šansa da ih se identificira i privede pravdi”.

Kao rezultat kršenja sigurnosti, Sky Mavis zaustavio je most koji povezuje Ronin s Ethereumom glavna mreža, što omogućuje slanje sredstava i imovine između njih, kao i decentraliziranu razmjenu Katana (DEX) koji radi na Roninu.

Tvrtka je nadalje rekla da su sva sredstva još uvijek na Roninu—bilo da se radi o AXS-u i SLP-u tvrtke Axie Infinity pojavnica, ili Roninov vlastiti RON token upravljanja—trenutno su sigurni. Sky Mavis je otkrio kršenje nakon što je netko pokušao povući 5,000 ETH vlastitih sredstava iz Ronina i otkrio da su nedostupni putem mosta.

Čini se da je hak na Ronin bridge sličan onom u Wormholeu, unakrsnom lancu Ethereum/Solana most koji je bio napadnut za 320 milijuna dolara u vrijednosti od WETH početkom veljače. Jump Crypto je očito na kraju nadopunio ukradena sredstva kao oklada na budućnost ekosustava Solane.

Napomena urednika: Ova je priča ažurirana kako bi uključila komentare suosnivača Axie Infinityja Jeff Zirlin na NFT LA konferenciji.

Najbolje od dešifriranja izravno u vašu pristiglu poštu.

Dobivajte dnevne, tjedne preglede i duboke vijesti izravno u svoju pristiglu poštu.