Ang Ronin Network, isang sidechain na nakabatay sa Ethereum na ginawa ng developer ng Axie Infinity na Sky Mavis para suportahan ang sikat nitong non-fungible token-based na laro, ay pinagsamantalahan ng hindi kilalang hacker (o isang grupo) at nawalan ng humigit-kumulang $615 milyon na halaga ng crypto ngayon.
“Ang tulay ng Ronin ay pinagsamantalahan para sa 173,600 Ethereum at 25.5M USDC. Ang tulay ng Ronin at Katana Dex ay itinigil," isiniwalat ng Ronin Network sa Twitter ngayon, idinagdag:
“Nakikipagtulungan kami sa mga opisyal ng pagpapatupad ng batas, forensic cryptographer, at sa aming mga namumuhunan upang matiyak na ang lahat ng mga pondo ay mababawi o maibabalik. Ang lahat ng AXS, RON, at SLP sa Ronin ay ligtas sa ngayon."
Nagkaroon ng paglabag sa seguridad sa Ronin Network.https://t.co/ktAp9w5qpP
— Ronin (@Ronin_Network) Marso 29, 2022
Ayon sa network's alerto sa komunidad, ang Ronin bridge nito, isang blockchain interoperability protocol na nagpapahintulot sa mga user na ilipat ang kanilang mga asset sa pagitan ng Ronin chain at Ethereum mainnet, ay pinagsamantalahan para sa 173,600 Ethereum (kasalukuyang nagkakahalaga lamang ng higit sa $588 milyon) at $25.5 milyon na halaga ng USDC stablecoins.
"Maaga ngayon, natuklasan namin na noong ika-23 ng Marso, nakompromiso ang mga Ronin validator node at Axie DAO validator node ng Sky Mavis," isiniwalat ni Sky Mavis. “Ginamit ng attacker ang mga na-hack na pribadong key para makapeke ng mga pekeng withdrawal. Natuklasan namin ang pag-atake ngayong umaga pagkatapos ng isang ulat mula sa isang user na hindi makapag-withdraw ng 5k ETH mula sa tulay."
'Lahat ng node mo ay sa amin'
Ipinaliwanag pa ng mga developer na ang Ronin chain ay kasalukuyang binubuo ng siyam na validator node, lima sa mga ito ay dapat magbigay ng kanilang mga lagda para sa anumang deposito ng withdrawal upang magpatuloy. Bilang bahagi ng kanilang pag-atake, nakuha ng hacker ang kontrol sa apat na ganoong node at gumamit ng karagdagang third-party na validator na pinamamahalaan ni Axie DAO upang palitan ang ikalima.
“Ang validator key scheme ay naka-set up upang maging desentralisado upang malimitahan nito ang isang attack vector, katulad ng isang ito, ngunit ang attacker ay nakakita ng backdoor sa pamamagitan ng aming walang gas na RPC node, na kanilang inabuso upang makuha ang pirma para sa Axie DAO validator ,” paliwanag ng mga developer.
Kapansin-pansin, naging posible ito dahil humiling ang Sky Mavis ng tulong mula sa Axie DAO noong Nobyembre para “mamahagi ng mga libreng transaksyon dahil sa napakalaking load ng user.” Bilang bahagi ng kasunduang ito, "pinayagan" ng Axie DAO ang Sky Mavis na pumirma ng mga transaksyon sa ngalan nito.
Gayunpaman, habang ang kasunduan ay hindi na ipinagpatuloy noong Disyembre 2021, ang allowlist na pag-access ay hindi binawi, ayon sa anunsyo.
Sumusulong
Kasunod ng pag-atake ngayon, pinataas ng mga developer ng Ronin chain ang validator threshold mula lima hanggang walo at kasalukuyang "nakikipag-ugnayan sa mga security team sa mga pangunahing palitan at makikipag-ugnayan sa lahat sa mga darating na araw." Bilang karagdagan, ang mga node ng sidechain ay inililipat mula sa lumang imprastraktura.
“Pansamantala naming itinigil ang Ronin Bridge para matiyak na walang karagdagang attack vector ang mananatiling bukas. Hindi na rin pinagana ng Binance ang kanilang tulay papunta/mula sa Ronin upang magkamali sa panig ng pag-iingat. Ang tulay ay bubuksan sa susunod na petsa kapag natiyak natin na walang maubos na pondo, "sabi ni Sky Mavis. "Kami ay nakikipagtulungan sa Chainalysis upang subaybayan ang mga ninakaw na pondo."
Isinasaalang-alang ang kasalukuyan dolyar na halaga ng mga nawalang asset, ito ay maaaring maging pinakamalaking hack sa kasaysayan ng desentralisadong pananalapi (DeFi). Habang tanyag ang crypto exchange Mt. Gox Nawala ang humigit-kumulang 850,000 Bitcoin noong 2014—na sa kasalukuyan ay nagkakahalaga ng $40.2 bilyon—ang bilang na iyon ay mas maliit noong panahong iyon dahil nakikipagkalakalan ang Bitcoin sa isang fraction ng presyo nito ngayon.
Sa ngayon, ang cross-chain bridging protocol na Poly Network ay itinuturing na pinakamalaking biktima ng isang DeFi hack pagkatapos na ito ay pinagsamantalahan para sa humigit-kumulang $604 milyon noong nakaraang Agosto. Sa kasong iyon, gayunpaman, ang hacker mamaya ibinalik ang karamihan sa mga ninakaw na pondo.
Pinagmulan: https://cryptoslate.com/axie-infinity-developers-ronin-network-loses-615-million-to-hackers/