Als onderdeel van de aanval wist een onbekende hacker controle te krijgen over vier van Ronin Network’s validator nodes.
Ronin Network, een Ethereum-gebaseerde sidechain gecreëerd door Axie Infinity ontwikkelaar Sky Mavis om zijn populaire niet-fungibele token-gebaseerde spel te ondersteunen, werd uitgebuit door een onbekende hacker (of een groep) en verloor vandaag ruwweg $615 miljoen aan crypto.
“De Ronin-brug is uitgebuit voor 173.600 Ethereum en 25,5M USDC. De Ronin bridge en Katana Dex zijn stopgezet,” onthulde Ronin Network vandaag op Twitter, toevoegend:
“We werken samen met wetshandhavers, forensische cryptografen, en onze investeerders om ervoor te zorgen dat alle fondsen worden teruggevorderd of terugbetaald. Alle AXS, RON en SLP op Ronin zijn op dit moment veilig. “
Er is een beveiligingsinbreuk geweest op het Ronin Netwerk.https://t.co/ktAp9w5qpP
– Ronin (@Ronin_Network) Maart 29, 2022
Volgens de waarschuwing van de gemeenschap van het netwerk is de Ronin-brug, een interoperabiliteitsprotocol voor de blockchain waarmee gebruikers hun activa kunnen overdragen tussen de Ronin-keten en het Ethereum mainnet, misbruikt voor 173.600 Ethereum (momenteel iets meer dan $588 miljoen waard) en $25,5 miljoen aan stabiele USDCcoins.
“Eerder vandaag ontdekten we dat op 23 maart Sky Mavis’s Ronin validator nodes en Axie DAO validator nodes werden gecompromitteerd,” onthulde Sky Mavis. “De aanvaller gebruikte gehackte private keys om valse opnames te vervalsen. We ontdekten de aanval vanochtend na een melding van een gebruiker die geen 5k ETH kon opnemen van de bridge. “
‘All your node are belong to us’
De ontwikkelaars legden verder uit dat de Ronin keten momenteel bestaat uit negen validatie nodes, waarvan er vijf hun handtekening moeten geven om een storting of opname door te laten gaan. Als onderdeel van hun aanval, slaagde de hacker erin controle te krijgen over vier van deze nodes en gebruikte een extra validator van een derde partij, gerund door Axie DAO, om de vijfde te vervangen.
“Het validatorsleutelsysteem is gedecentraliseerd zodat het een aanvalsvector beperkt, zoals deze, maar de aanvaller vond een achterdeur via ons gasloze RPC-knooppunt, dat hij misbruikte om de handtekening voor de Axie DAO-validator te bemachtigen,” legden de ontwikkelaars uit.
Notably, dit werd mogelijk gemaakt omdat Sky Mavis in november vorig jaar hulp vroeg aan de Axie DAO om “gratis transacties te verdelen als gevolg van een immense gebruikersbelasting.” Als onderdeel van deze overeenkomst, “stond” de Axie DAO Sky Mavis toe om namens haar transacties te ondertekenen.
Hoewel de overeenkomst in december 2021 werd stopgezet, werd de toegang tot de allowlist echter niet ingetrokken, aldus de aankondiging.
Vooruitgang
Naar aanleiding van de aanval van vandaag, hebben de ontwikkelaars van de Ronin-keten de validatiedrempel verhoogd van vijf naar acht en zijn momenteel “in contact met beveiligingsteams bij grote beurzen en zullen in de komende dagen naar iedereen uitreiken.” Bovendien worden de nodes van de sidechain gemigreerd van de oude infrastructuur.
“We hebben de Ronin Bridge tijdelijk gepauzeerd om ervoor te zorgen dat er geen verdere aanvalsvectoren open blijven. Binance heeft ook haar brug van/naar Ronin uitgeschakeld om het zekere voor het onzekere te nemen. De brug zal op een later tijdstip worden geopend zodra we er zeker van zijn dat er geen fondsen kunnen worden afgetapt,” verklaarde Sky Mavis. “We werken samen met Chainalysis om de gestolen fondsen in de gaten te houden. “
Gezien de huidige waarde in dollars van de verloren activa, zou dit wel eens de grootste hack kunnen worden in de geschiedenis van de gedecentraliseerde financiën (DeFi). Hoewel de cryptobeurs Mt. Gox in 2014 850.000 Bitcoin verloor – wat momenteel 40,2 miljard dollar waard zou zijn – was dat bedrag toen veel kleiner omdat Bitcoin toen tegen een fractie van de huidige prijs werd verhandeld.
Tot nu toe werd het cross-chain overbruggingsprotocol Poly Network beschouwd als het grootste slachtoffer van een DeFi hack nadat het in augustus vorig jaar voor ruwweg 604 miljoen dollar werd uitgebuit. In dat geval, echter, gaf de hacker later het grootste deel van de gestolen fondsen terug.
