В рамките на атаката неизвестен хакер успява да получи контрол над четири от валидационните възли на мрежата Ronin.
Ronin Network, странична верига, базирана на Ethereum, създадена от разработчика на Axie Infinity Sky Mavis в подкрепа на популярната му игра, базирана на непарични токени, беше използвана от неизвестен хакер (или група) и днес загуби криптовалута на стойност около 615 млн. долара.
„Мостът Ронин“ беше експлоатиран за 173 600 Етериум и 25,5 млн. щатски долара. Мостът Ronin и Katana Dex бяха спрени“, разкри днес Ronin Network в Twitter, като добави: „В момента се работи по моста:
„Работим с представители на правоприлагащите органи, криминалисти криптографи и нашите инвеститори, за да сме сигурни, че всички средства са възстановени или възстановени. Всички AXS, RON и SLP на Ronin са в безопасност в момента. „
В мрежата Ronin е имало пробив в сигурността.https://t.co/ktAp9w5qpP
– Ronin (@Ronin_Network) March 29, 2022
Според предупреждението на общността на мрежата, нейният мост Ronin – протокол за оперативна съвместимост на блокчейн, който позволява на потребителите да прехвърлят активите си между веригата Ronin и основната мрежа Ethereum – е бил използван за 173 600 Ethereum (понастоящем на стойност малко над 588 млн. USD) и стабилни монети USDC на стойност 25,5 млн. долара.
„По-рано днес открихме, че на 23 март са били компрометирани валидиращите възли Ronin на Sky Mavis и валидиращите възли Axie DAO“, разкри Sky Mavis. „Нападателят е използвал хакнати частни ключове, за да фалшифицира фалшиви тегления. Открихме атаката тази сутрин след доклад от потребител, който не може да изтегли 5k ETH от моста.“
„Всички ваши възли принадлежат на нас „
Разработчиците обясниха още, че веригата Ronin в момента се състои от девет валидиращи възела, пет от които трябва да предоставят подписите си, за да може да се извърши всеки депозит или теглене. В рамките на атаката си хакерът е успял да получи контрол над четири такива възела и е използвал допълнителен валидатор от трета страна, управляван от Axie DAO, за да замени петия.
„Ключовата схема на валидатора е създадена да бъде децентрализирана, така че да ограничава вектора на атаката, подобен на този, но нападателят е намерил задна вратичка през нашия безгазов RPC възел, с която е злоупотребил, за да получи подписа за валидатора на Axie DAO“, обясняват разработчиците.
Забележително е, че това е станало възможно, тъй като през ноември миналата година Sky Mavis е поискал помощ от Axie DAO, за да „разпредели безплатни транзакции поради огромното натоварване на потребителите“. Като част от това споразумение Axie DAO „разреши“ на Sky Mavis да подписва транзакции от нейно име.
Въпреки това, макар че споразумението беше прекратено през декември 2021 г., достъпът до allowlist не беше отнет, според съобщението.
Преминаване напред
След днешната атака разработчиците на веригата Ronin са увеличили прага на валидаторите от пет на осем и в момента „поддържат връзка с екипите по сигурността на големите борси и ще се обърнат към всички в следващите дни“. Освен това възлите на страничната верига се мигрират от старата инфраструктура.
„Временно спряхме моста Ронин, за да гарантираме, че няма да останат отворени допълнителни вектори за атаки. Binance също деактивира своя мост към/от Ronin, за да бъдем предпазливи. Мостът ще бъде отворен на по-късна дата, след като сме сигурни, че не могат да бъдат източвани средства“, заяви Скай Мавис. „Работим с Chainalysis, за да следим откраднатите средства.“
Като се има предвид текущата стойност на изгубените средства в долари, това може да се превърне в най-големия хак в историята на децентрализираните финанси (DeFi). Макар че криптоборсата Mt. Gox се прочу с това, че през 2014 г. загуби около 850 000 Биткойна – които в момента биха стрували 40,2 млрд. долара – тази цифра беше много по-малка по онова време, тъй като Биткойнът се търгуваше на малка част от днешната си цена.
Досега протоколът за мостово свързване между веригите Poly Network се считаше за най-голямата жертва на хакерската атака DeFi, след като беше експлоатиран за около 604 млн. долара през август миналата година. В този случай обаче хакерът по-късно върна по-голямата част от откраднатите средства.
