Peretas Menguras $622M Dari Sidechain Ronin Ethereum Axie Infinity

Ronin, dan Ethereum sidechain dikembangkan untuk game NFT yang sukses axie tak terhingga, telah ditargetkan dalam peretasan yang menyebabkan cryptocurrency senilai $625 juta terkuras dari jembatannya.

Pengembang Sky Mavis mengumumkan beritanya hari ini, menulis bahwa eksploitasi terjadi pada 23 Maret tetapi baru ditemukan hari ini. Penyerang menggunakan "kunci pribadi yang diretas" untuk mengeksekusi eksploit, menurut laporan tim, dan dengan demikian dapat memalsukan transaksi untuk mengklaim dana tersebut.

Semua mengatakan, penyerang mengambil 173,600 WETH atau Wrapped Ethereum (hampir $597 juta) dan 25.5 juta USDC stablecoin ($25.5 juta), menambahkan hingga sekitar $622 juta dana crypto pada tulisan ini. Sebagian besar dana yang dicuri masih duduk di hacker dompet.

Menurut laporan tersebut, penyerang dapat menandatangani transaksi dari lima dari sembilan node validator saat ini di jaringan Ronin, yang merupakan ambang batas yang diperlukan untuk menyetujui tanda tangan. Pada akhirnya, penyerang memperoleh akses ke empat validator Sky Mavis sendiri, bersama dengan satu yang dioperasikan oleh Axie DAO.

“Skema kunci validator diatur untuk didesentralisasi sehingga membatasi vektor serangan, mirip dengan yang ini, tetapi penyerang menemukan pintu belakang melalui node RPC bebas gas kami, yang mereka menyalahgunakan untuk mendapatkan tanda tangan untuk validator Axie DAO. ,” bunyi laporan itu.

“Ini melacak kembali ke November 2021 ketika Sky Mavis meminta bantuan dari Axie DAO untuk mendistribusikan transaksi gratis karena beban pengguna yang sangat besar,” lanjutnya. “Axie DAO mengizinkan Sky Mavis untuk menandatangani berbagai transaksi atas namanya. Ini dihentikan pada Desember 2021, tetapi akses daftar yang diizinkan tidak dicabut.”

Sky Mavis mengatakan bahwa mereka telah memanfaatkan penegak hukum, kriptografer forensik di Chainalysis, dan investornya sendiri untuk “memastikan semua dana dipulihkan atau diganti.”

Selama wawancara di atas panggung pada konferensi NFT LA hari ini, salah satu pendiri Axie Infinity Jeff Zirlin menggambarkannya sebagai "salah satu peretasan terbesar dalam sejarah." Beberapa dana yang terkuras telah dikirim dari dompet penyerang ke bursa, dan Zirlin mengatakan bahwa “ada kemungkinan mereka dapat diidentifikasi dan dibawa ke pengadilan.”

Sebagai akibat dari pelanggaran keamanan, Sky Mavis telah menghentikan jembatan yang menghubungkan Ronin ke Ethereum jaringan utama, memungkinkan untuk mengirim dana dan aset bolak-balik di antara mereka, serta pertukaran terdesentralisasi Katana (DEX) yang berjalan di Ronin.

Perusahaan mengatakan lebih lanjut bahwa semua dana masih ada di Ronin — baik di AXS dan SLP Axie Infinity token, atau token tata kelola RON milik Ronin—saat ini aman. Sky Mavis menemukan pelanggaran tersebut setelah seseorang mencoba menarik 5,000 ETH dari dana mereka sendiri dari Ronin dan menemukan bahwa mereka tidak tersedia melalui jembatan.

Retasan jembatan Ronin tampaknya mirip dengan Wormhole, Ethereum/ lintas rantaiberanda jembatan itu diserang seharga $320 juta senilai WETH di awal Februari. Jump Crypto akhirnya mengisi kembali dana yang dicuri, rupanya sebagai taruhan untuk masa depan ekosistem Solana.

Catatan editor: Cerita ini telah diperbarui untuk menyertakan komentar dari salah satu pendiri Axie Infinity Jeff Zirlin di konferensi NFT LA.

Dekripsi terbaik langsung ke kotak masuk Anda.

Dapatkan berita utama yang dikurasi setiap hari, pengumpulan mingguan & penyelaman mendalam langsung ke kotak masuk Anda.