Im Rahmen des Angriffs gelang es einem unbekannten Hacker, die Kontrolle über vier Validator-Knoten des Ronin Network zu erlangen
Ronin Network, eine Ethereum-basierte Sidechain, die vom Axie Infinity-Entwickler Sky Mavis zur Unterstützung seines beliebten, auf nicht-fungiblen Token basierenden Spiels erstellt wurde, wurde von einem unbekannten Hacker (oder einer Gruppe) ausgenutzt und verlor heute Kryptowährungen im Wert von rund 615 Millionen US-Dollar.
„Die Ronin-Brücke wurde für 173.600 Ethereum und 25,5 Mio. USDC ausgenutzt. Die Ronin-Brücke und Katana Dex wurden gestoppt“, teilte Ronin Network heute auf Twitter mit und fügte hinzu:
„Wir arbeiten mit Strafverfolgungsbehörden, forensischen Kryptographen und unseren Investoren zusammen, um sicherzustellen, dass alle Gelder zurückerhalten oder erstattet werden. Alle AXS, RON und SLP auf Ronin sind im Moment sicher. „
~
Es gab einen Sicherheitsverstoß im Ronin-Netzwerk. https://t.co/ktAp9w5qpP
– Ronin (@Ronin_Network) März 29, 2022
Die Ronin-Bridge, ein Blockchain-Interoperabilitätsprotokoll, das es Nutzern ermöglicht, ihre Vermögenswerte zwischen der Ronin-Kette und dem Ethereum-Mainnet zu transferieren, wurde für 173.600 Ethereum (derzeit im Wert von etwas mehr als 588 Mio. $) und USDC-Stablecoins im Wert von 25,5 Mio. $ ausgenutzt, heißt es in einem Community-Alarm des Netzwerks.
„Wir haben heute entdeckt, dass am 23. März die Ronin-Validierungsknoten von Sky Mavis und die Axie-DAO-Validierungsknoten kompromittiert wurden“, erklärte Sky Mavis. „Der Angreifer verwendete gehackte private Schlüssel, um gefälschte Abhebungen zu fälschen. Wir entdeckten den Angriff heute Morgen, nachdem ein Nutzer berichtete, dass er keine 5k ETH von der Brücke abheben konnte. „
‚All your node are belong to us‘
Die Entwickler erklärten weiter, dass die Ronin-Kette derzeit aus neun Validierungsknoten besteht, von denen fünf ihre Unterschrift leisten müssen, damit eine Einzahlung oder Abhebung erfolgen kann. Im Rahmen ihres Angriffs gelang es den Hackern, die Kontrolle über vier dieser Knoten zu erlangen, und sie nutzten einen zusätzlichen Validator eines Drittanbieters, der von der Axie DAO betrieben wird, um den fünften zu ersetzen.
Der Angreifer fand jedoch eine Hintertür durch unseren gasfreien RPC-Knoten, die er missbrauchte, um die Signatur für den Axie DAO-Validator zu erhalten“, erklärten die Entwickler.
Ermöglicht wurde dies, weil Sky Mavis im November letzten Jahres die Axie DAO um Hilfe gebeten hat, um „aufgrund einer immensen Nutzerlast kostenlose Transaktionen zu verteilen.“ Als Teil dieser Vereinbarung „erlaubte“ die Axie DAO Sky Mavis, Transaktionen in ihrem Namen zu unterzeichnen.
Während die Vereinbarung jedoch im Dezember 2021 beendet wurde, wurde der Zugriff auf die Erlaubnisliste nicht widerrufen, heißt es in der Ankündigung.
Moving forward
Nach dem heutigen Angriff haben die Entwickler der Ronin-Kette den Schwellenwert für Validatoren von fünf auf acht erhöht und sind derzeit „in Kontakt mit den Sicherheitsteams der wichtigsten Börsen und werden sich in den kommenden Tagen an alle wenden.“ Außerdem werden die Knoten der Sidechain von der alten Infrastruktur migriert:
„Wir haben die Ronin-Brücke vorübergehend pausiert, um sicherzustellen, dass keine weiteren Angriffsvektoren offen bleiben. Binance hat seine Brücke zu/von Ronin ebenfalls deaktiviert, um auf Nummer sicher zu gehen. Die Brücke wird zu einem späteren Zeitpunkt wieder geöffnet, sobald wir sicher sind, dass keine Gelder abgezogen werden können“, erklärte Sky Mavis. „Wir arbeiten mit Chainalysis zusammen, um die gestohlenen Gelder zu überwachen.“
Angesichts des aktuellen Dollarwerts der verlorenen Vermögenswerte könnte dies der größte Hack in der Geschichte der dezentralen Finanzen (DeFi) werden. Während die Krypto-Börse Mt. Gox im Jahr 2014 rund 850.000 Bitcoin verlor – was heute 40,2 Milliarden Dollar wert wäre – war diese Zahl damals viel geringer, da Bitcoin zu einem Bruchteil des heutigen Preises gehandelt wurde.
Bislang galt das kettenübergreifende Überbrückungsprotokoll Poly Network als das größte Opfer eines DeFi-Hacks, nachdem es im vergangenen August für rund 604 Millionen Dollar ausgenutzt wurde. In diesem Fall gab der Hacker jedoch später den Großteil der gestohlenen Gelder zurück.
