Накратко
- Ronin, страничната верига на Ethereum за NFT играта Axie Infinity, беше ударена със значителен експлойт.
- Като цяло Ethereum и USDC на стойност около 622 милиона долара бяха източени от моста, който свързва Ronin с основната мрежа на Ethereum.
Ронин, ан Ethereum странична верига, разработена за хитовата NFT игра axie безкрайност, беше насочена при хакване, при което криптовалута на стойност 625 милиона долара беше източена от моста.
Разработчик Sky Mavis съобщи новината днес, като пише, че експлоата е извършена на 23 март, но е открита едва по-рано днес. Нападателят е използвал „хакнати частни ключове“, за да изпълни експлойта, според доклада на екипа, и по този начин е успял да фалшифицира транзакции, за да поиска средствата.
Всичко казано, нападателят взе 173,600 597 WETH или Wrapped Ethereum (почти $25.5 милиона) и XNUMX милиона USDC stablecoin (25.5 милиона долара), добавяйки до около 622 милиона долара крипто фондове към момента на писането. Повечето от откраднатите средства все още са седи в хакера портфейл.
Според доклада нападателят е успял да подпише транзакции от пет от деветте текущи възли за валидиране в мрежата на Ronin, което е прагът, необходим за одобрение на подписите. В крайна сметка нападателят получи достъп до четирите валидатора на Sky Mavis, заедно с един, управляван от Axie DAO.
„Ключовата схема на валидатора е настроена да бъде децентрализирана, така че да ограничава вектор на атака, подобен на този, но нападателят намери бекдор през нашия RPC възел без газ, който злоупотреби, за да получи подписа за Axie DAO валидатора “, пише в доклада.
„Това проследява до ноември 2021 г., когато Sky Mavis поиска помощ от Axie DAO за разпространение на безплатни транзакции поради огромно натоварване на потребителите“, продължава той. „Axie DAO разреши Sky Mavis да подписва различни транзакции от негово име. Това беше прекратено през декември 2021 г., но достъпът до разрешения списък не беше отменен.
Sky Mavis каза, че е прихванала правоприлагащите органи, криминалистите на криптографите в Chainalysis и собствените си инвеститори, за да се „увери, че всички средства са възстановени или възстановени“.
По време на интервю на сцената на конференцията на NFT LA днес съоснователят на Axie Infinity Джеф Зирлин го описа като „един от най-големите хакове в историята“. Част от източените средства вече са изпратени от портфейла на нападателя на борси, а Зирлин каза, че „има шанс те да бъдат идентифицирани и изправени пред правосъдието“.
Източник: https://decrypt.co/96322/hacker-622-million-axie-infinity-ronin-ethereum