Na kratko
- Ronin, stranska veriga Ethereuma za igro NFT Axie Infinity, je bila prizadeta s precejšnjim izkoriščanjem.
- Vse skupaj je bilo za približno 622 milijonov dolarjev vreden Ethereum in USDC izčrpan z mostu, ki povezuje Ronin z glavnim omrežjem Ethereuma.
Ronin, an Ethereum sidechain, razvit za uspešnico NFT igro Axie neskončnost, je bil tarča vdora, pri katerem je iz njegovega mostu odteklo kriptovalute v vrednosti 625 milijonov dolarjev.
Razvijalec Sky Mavis objavila novico danes, ki piše, da se je izkoriščanje zgodilo 23. marca, a odkrito šele danes. Napadalec je v skladu s poročilom ekipe za izvedbo izkoriščanja uporabil "vlomljene zasebne ključe" in je tako lahko ponaredil transakcije, da bi zahteval sredstva.
Vse skupaj je napadalec vzel 173,600 WETH ali Wrapped Ethereum (skoraj 597 milijonov dolarjev) in 25.5 milijona USDC stablecoin (25.5 milijona dolarjev), kar je od tega pisanja dodalo približno 622 milijonov dolarjev kripto sredstev. Večina ukradenih sredstev je še vedno sedi v hekerju denarnica.
Po poročilu je napadalec lahko podpisal transakcije s petih od devetih trenutnih validatorskih vozlišč v omrežju Ronin, kar je prag, potreben za odobritev podpisov. Nazadnje je napadalec pridobil dostop do štirih validatorjev Sky Mavisa, skupaj z enim, ki ga upravlja Axie DAO.
»Shema ključa validatorja je nastavljena tako, da je decentralizirana tako, da omejuje vektor napada, podoben temu, vendar je napadalec našel zadnja vrata prek našega RPC vozlišča brez plina, ki so ga zlorabili, da bi dobili podpis za validator Axie DAO ,« piše v poročilu.
"To sega do novembra 2021, ko je Sky Mavis zaprosil za pomoč Axie DAO za distribucijo brezplačnih transakcij zaradi ogromne obremenitve uporabnikov," nadaljuje. »Axie DAO je Sky Mavis na seznamu dovoljenih za podpisovanje različnih transakcij v njegovem imenu. To je bilo ukinjeno decembra 2021, vendar dostop do seznama dovoljenih ni bil preklican."
Sky Mavis je dejal, da je prisluhnil organom pregona, forenzičnim kriptografom pri Chainalysisu in lastnim vlagateljem, da bi "zagotovili, da bodo vsa sredstva izterjana ali povrnjena."
Med intervju na odru na današnji konferenci NFT LA je soustanovitelj Axie Infinity Jeff Zirlin opisal kot "enega večjih hakov v zgodovini." Nekaj izčrpanih sredstev je bilo že poslanih iz denarnice napadalca na borze, Zirlin pa je dejal, da "obstaja možnost, da jih je mogoče identificirati in privesti pred sodišče."
Vir: https://decrypt.co/96322/hacker-622-million-axie-infinity-ronin-ethereum