сцісла
- Ronin, сайдчэйн Ethereum для гульні NFT Axie Infinity, пацярпеў ад значнага эксплойта.
- У цэлым Ethereum і USDC на суму каля 622 мільёнаў долараў былі зліты з моста, які злучае Ronin з асноўнай сеткай Ethereum.
Ронін, ан Эфириума сайдчэйн, распрацаваны для папулярнай гульні NFT сякера бясконцасці, стаў мішэнню ўзлому, у выніку якога з яго моста была выведзена крыптавалюта на суму каля 625 мільёнаў долараў.
Распрацоўшчык Sky Mavis абвясціў навіну сёння, напісаўшы, што эксплойт адбыўся 23 сакавіка, але выяўлены толькі раней сёння. Згодна са справаздачай каманды, зламыснік выкарыстаў «узламаныя закрытыя ключы» для выканання эксплойта і, такім чынам, змог падрабіць транзакцыі, каб атрымаць сродкі.
У цэлым зламыснік забраў 173,600 597 WETH або Wrapped Ethereum (амаль 25.5 мільёнаў долараў) і XNUMX мільёна USDC стейблкойн (25.5 мільёна долараў), што на момант напісання артыкула складае каля 622 мільёнаў долараў крыптафондаў. Большая частка выкрадзеных сродкаў да гэтага часу сядзіць у хакера папернік.
Паводле справаздачы, зламыснік змог падпісаць транзакцыі з пяці з дзевяці бягучых вузлоў валідатара ў сетцы Ronin, што з'яўляецца парогам, неабходным для зацвярджэння подпісаў. У рэшце рэшт, зламыснік атрымаў доступ да чатырох уласных валідатараў Sky Mavis, а таксама да аднаго, які кіруецца Axie DAO.
«Схема ключа валідатара настроена на дэцэнтралізацыю, каб абмяжоўваць вектар атакі, падобны да гэтага, але зламыснік знайшоў бэкдор праз наш безгазавы вузел RPC, якім яны злоўжывалі, каб атрымаць подпіс для валідатара Axie DAO. », - гаворыцца ў паведамленні.
«Гэта ўзыходзіць да лістапада 2021 года, калі Sky Mavis папрасіла дапамогу ў Axie DAO для распаўсюджвання бясплатных транзакцый з-за велізарнай нагрузкі на карыстальнікаў», — працягваецца ў паведамленні. «Axie DAO уключыла ў дазволены спіс Sky Mavis для падпісвання розных транзакцый ад яго імя. Гэта было спынена ў снежні 2021 года, але доступ да белага спісу не быў адкліканы».
Sky Mavis паведаміла, што звярнулася да праваахоўных органаў, крыміналістычных крыптаграфаў Chainalysis і ўласных інвестараў, каб «пераканацца, што ўсе сродкі вернуты або кампенсаваны».
У час інтэрв'ю на сцэне на сённяшняй канферэнцыі NFT у Лос-Анджэлесе сузаснавальнік Axie Infinity Джэф Зірлін ахарактарызаваў гэта як «адзін з самых вялікіх узломаў у гісторыі». Частка злітых сродкаў ужо была адпраўлена з кашалька зламысніка на біржы, і Зірлін сказаў, што «ёсць шанец, што іх можна будзе апазнаць і прыцягнуць да адказнасці».
Крыніца: https://decrypt.co/96322/hacker-622-million-axie-infinity-ronin-ethereum