В конце марта Ronin, сайдчейн Ethereum, созданный для популярной игры с невзаимозаменяемыми токенами Axie Infinity, предназначенной для заработка, был взломан на более чем 173 600 эфиров (ETH) и 25,5 миллионов долларов США (USDC) на общую сумму более 600 миллионов долларов.

Взлом на мосту Ронинов подтвердили Sky Mavis, разработчики популярной игры «играй, чтобы заработать» (P2E):

В сети Ronin Network произошло нарушение безопасности. https://t.co/ktAp9w5qpP

— Ронин (@Ronin_Network) 29 марта 2022 г.

В официальном отчете компании отмечается, что хакерам удалось получить доступ к закрытым ключам к узлам валидатора, что привело к компрометации пяти узлов валидатора, что также является порогом, необходимым для одобрения транзакции. Цепочка Ronin в настоящее время состоит из девяти узлов валидатора, и хакеру удалось получить доступ к четырем из них вместе со сторонним валидатором, которым управляет децентрализованная автономная организация (DAO) Axie DAO.

Основная причина эксплойта восходит к прошлому году, когда Axie DAO предоставила Sky Mavis доступ для подтверждения транзакций от его имени, чтобы уменьшить количество пользователей. Однако этот доступ никогда не отзывался, что в конечном итоге привело к бэкдору хакеров, что привело к взломам на 600 миллионов долларов.

Эксплойт произошел 23 марта, но был обнаружен почти через неделю после того, как хакеры, стоящие за атакой, использовали украденные средства для коротких позиций Axie Infinity (AXS) и Ronin (RON). Хакеры надеялись заработать больше денег на своем эксплойте, думая, что новость о самом крупном взломе криптовалюты в конечном итоге обрушит рынок, однако они были ликвидированы до того, как эта новость появилась:

Вы не можете сделать это

Хакер украл 600 миллионов долларов в ETH из блокчейна Ronin, лежащего в основе Axie

Затем хакер открывает короткую позицию по Ronin и AXS (токен Axie), зная, что как только появятся новости, токены резко упадут.

Но НИКТО этого не замечает, и они ликвидируются незадолго до выхода новостей.

— Эрик Голден (@ericgoldenx) 29 марта 2022 г.

После этого мост Ронин был закрыт, все депозиты и снятие средств были остановлены до завершения расследования, и может пройти несколько недель, прежде чем мост снова откроется для общественного пользования. С тех пор разработчики игры обратились за помощью к различным криптобиржам и криптоаналитической группе Chainalysis, чтобы отследить движение средств и вернуть их.

Sky Mavis исключила технические уязвимости как основную причину эксплойта и обвинила в этом социальную инженерию. Разработчики также пообещали возместить и вернуть украденные средства:

«Это была атака социальной инженерии в сочетании с человеческим фактором в декабре 2021 года. Технология Sky Mavis надежна, и вскоре мы добавим несколько новых валидаторов в сеть Ronin для дальнейшей децентрализации сети», — сказал соучредитель и главный операционный директор Axie Infinity. Александр Леонард Ларсен.

Отмывание и возмещение

Эксплойт на мосту Ронин был очень похож на то, что произошло на мосту Червоточины для Соланы, где эксплуататорам удалось уйти с 320 миллионов долларов криптовалюты с платформы кросс-моста. Позже в феврале Jump Crypto — венчурная компания — выручила эксплуатируемых пользователей и пополнила 120 000 ETH.

Sky Mavis дала аналогичное обещание после эксплойта, заявив, что гарантирует возмещение пострадавшим пользователям, даже если потерянные средства не будут возвращены. 6 апреля создатели популярной игры привлекли 150 миллионов долларов во главе с криптобиржей Binance и другими инвесторами.

Представитель Sky Mavis сообщил Cointelegraph:

«Из общей украденной суммы около 400 миллионов долларов принадлежат пользователям. Новый раунд в сочетании с балансовыми средствами Sky Mavis и Axie обеспечит возмещение всех пользователей. Sky Mavis работает с правоохранительными органами, чтобы вернуть средства. Если украденные средства не будут полностью возвращены в течение двух лет, Axie DAO проголосует за следующие шаги для казначейства».

Многие в криптомире надеялись, что, как и эксплуататор Poly Network, хакер, стоящий за эксплойтом Ronin Bridge, в конечном итоге вернет украденные средства, поскольку отмыть такую ​​большую сумму довольно сложно. Однако никаких доказательств такого общения между разработчиками игр и хакерами не было, и компания отказалась комментировать статус такого общения.

Elliptic, компания по анализу криптографических данных, отследила 540 миллионов долларов украденных средств и считает, что хакеры уже начали отмывание денег. Во-первых, украденный USDC был обменен на ETH на децентрализованных биржах (DEX), чтобы избежать его замораживания.

Движение украденных средств из хакерского кошелька Ronin Bridge Источник: Elliptic
Движение украденных средств из хакерского кошелька Ronin Bridge Источник: Elliptic

После обмена USDC на ETH хакеры начали отмывать ETH через три централизованные биржи.

Кошелек, принадлежащий хакерам Ronin Bridge, также начал отправлять средства в службы смешивания валют, такие как Tornado Cash. Стоит отметить, что эксплуататор Poly Network сначала сделал то же самое, но в конце концов решил вернуть средства, поскольку отмывание такой крупной суммы становилось все труднее. Согласно отчету PeckShield, хакеры отмыли около 42 миллионов долларов, или около 7,5% от общей суммы.

Отмывание украденных средств хакером Ronin Bridge Источник: PeckShield
Отмывание украденных средств хакером Ronin Bridge Источник: PeckShield

«Взлом — самая простая часть. Самая сложная часть — это планирование достаточно заранее, чтобы убедиться, что обналичивание средств будет успешным. Более того, чем масштабнее взлом, тем меньше вероятность того, что хакеры смогут украсть все средства. », — сказал Джона Майклс, руководитель отдела коммуникаций Immunefi — платформы для поиска ошибок Web3.

Можно ли было избежать этого взлома?

Хотя не все блокчейны одинаковы, все они основаны на принципе децентрализации, что гарантирует, что власть и безопасность не будут сосредоточены в руках одного лица. Необходимость децентрализации подчеркивается этим огромным взломом Ронина. При разработке систем для населения с целью распределения мощности и безопасности они должны быть именно такими: распределенными. Использование девяти валидаторов, четыре из которых контролируются одной стороной, оказалось небезопасным.

В то время как создатели игры утверждают, что эксплойт не имел места из-за каких-либо технических недостатков, тот факт, что хакерам удалось взломать и получить доступ к одному из их узлов валидатора, потому что разработчики забыли отозвать доступ к третьему. Партийный валидатор, безусловно, подчеркивает определенный уровень централизации в процессе утверждения валидатора. В конечном итоге это стало причиной потери криптоактивов на сумму 600 миллионов долларов.

Для такой игры, как Axie Infinity с оценкой в ​​4 миллиарда долларов и базой пользователей, исчисляемой миллионами, разработчики определенно могли бы добиться большего успеха с безопасностью кросс-моста, особенно когда платформы кросс-моста были на принимающей стороне некоторых из крупнейших криптовалют. ограблений за последние пару лет.

Жан-Поль Фарак, глава сообщества и партнерства Unstoppable Games, сказал Cointelegraph:

«У Axie и их блокчейна Ronin явно есть добрые намерения и грандиозное видение. Действительно, учитывая состояние масштабирования Ethereum на момент создания Ronin, вы можете возразить, что в то время это был правильный выбор, но у них также были средства для изучения надежных меры для обеспечения лучшей защиты их блокчейна. Они наверняка тщательно изучат, как улучшить, и, вероятно, выйдут с другой стороны с более надежным продуктом».

Разработчики игры пообещали увеличить количество узлов-валидаторов с девяти до 21 в следующем квартале. Они также заверили, что если украденные средства не будут возвращены в течение двух лет, Axie DAO проголосует за следующие шаги для своей казны.

Источник