Como parte do ataque, um hacker desconhecido conseguiu ganhar controlo sobre quatro dos nós validadores da Rede Ronin.
Ronin Network, um sidechain baseado em Ethereum criado pelo programador Axie Infinity Sky Mavis para apoiar o seu popular jogo não-fungível baseado em fichas, foi explorado por um hacker desconhecido (ou um grupo) e perdeu hoje cerca de 615 milhões de dólares de criptografia.
“A ponte Ronin foi explorada por 173.600 Ethereum e 25,5M USDC. A ponte Ronin e Katana Dex foram suspensas”, revelou hoje a Rede Ronin no Twitter, acrescentando:
“Estamos a trabalhar com agentes da lei, criptógrafos forenses e os nossos investidores para garantir que todos os fundos sejam recuperados ou reembolsados. Todos os AXS, RON, e SLP em Ronin estão seguros neste momento”.
Há uma falha de segurança na Rede Ronin.https://t.co/ktAp9w5qpP
— Ronin (@Ronin_Network) March 29, 2022
De acordo com o alerta comunitário da rede, a sua ponte Ronin, um protocolo de interoperabilidade em cadeia de blocos que permite aos utilizadores transferir os seus activos entre a cadeia Ronin e a rede principal Ethereum, foi explorada por 173.600 Ethereum (actualmente no valor de pouco mais de 588 milhões de dólares) e 25,5 milhões de dólares de moedas estáveis USDC.
“Hoje cedo, descobrimos que a 23 de Março, os nós de validação Ronin da Sky Mavis e os nós de validação da Axie DAO estavam comprometidos”, revelou a Sky Mavis. “O atacante usou chaves privadas pirateadas para forjar falsas retiradas. Descobrimos o ataque esta manhã após um relatório de um utilizador que não conseguiu retirar 5k ETH da ponte”.
‘Todos os seus nós pertencem a nós’
‘Todos os seus nós pertencem a nós’
Os criadores explicaram ainda que a cadeia Ronin compreende actualmente nove nós validadores, cinco dos quais devem fornecer as suas assinaturas para que qualquer depósito de levantamento possa prosseguir. Como parte do seu ataque, o hacker conseguiu ganhar controlo sobre quatro desses nós e utilizou um validador adicional de terceiros gerido pelo Axie DAO para substituir o quinto.
“O esquema de chave do validador está configurado para ser descentralizado de modo a limitar um vector de ataque, semelhante a este, mas o atacante encontrou uma porta traseira através do nosso nó RPC sem gás, que abusaram para obter a assinatura para o validador Axie DAO”, explicaram os programadores.
Notably, isto foi possível porque a Sky Mavis pediu ajuda ao Axie DAO em Novembro passado para “distribuir transacções gratuitas devido a uma imensa carga de utilizadores”. Como parte deste acordo, o DAO Axie “permite” que a Sky Mavis assine transacções em seu nome.
No entanto, enquanto o acordo foi suspenso em Dezembro de 2021, o acesso à lista de autorização não foi revogado, de acordo com o anúncio.
Movendo-se para a frente
Seguindo o ataque de hoje, os criadores da cadeia Ronin aumentaram o limiar de validador de cinco para oito e estão actualmente “em contacto com as equipas de segurança em grandes intercâmbios e estarão a chegar a todos nos próximos dias”. Além disso, os nós do sidechain estão a ser migrados da antiga infra-estrutura.
“Fizemos uma pausa temporária na Ponte Ronin para assegurar que nenhum outro vector de ataque permaneça aberto. O Binance também desactivou a sua ponte de/para Ronin para se desviar do lado de precaução. A ponte será aberta numa data posterior, assim que tivermos a certeza de que nenhum fundo poderá ser drenado”, declarou Sky Mavis. “Estamos a trabalhar com Chainalysis para monitorizar os fundos roubados”,
Considerando o valor actual em dólares dos activos perdidos, este pode muito bem tornar-se o maior hack na história das finanças descentralizadas (DeFi). Enquanto que o câmbio criptográfico de Mt. Gox perdeu cerca de 850.000 Bitcoin em 2014 – que actualmente valeriam $40,2 mil milhões – esse valor era muito menor na altura, uma vez que o Bitcoin estava a negociar a uma fracção do seu preço actual.
Até à data, o protocolo de ligação em cadeia Poly Network era considerado como a maior vítima de um hack DeFi depois de ter sido explorado por cerca de 604 milhões de dólares em Agosto passado. Nesse caso, porém, o hacker devolveu mais tarde a maioria dos fundos roubados.
