Хакер выцягвае 622 мільёны долараў з бакавой ланцуга Ronin Ethereum Axie Infinity

Ронін, ан Эфириума сайдчэйн, распрацаваны для папулярнай гульні NFT сякера бясконцасці, стаў мішэнню ўзлому, у выніку якога з яго моста была выведзена крыптавалюта на суму каля 625 мільёнаў долараў.

Распрацоўшчык Sky Mavis абвясціў навіну сёння, напісаўшы, што эксплойт адбыўся 23 сакавіка, але выяўлены толькі раней сёння. Згодна са справаздачай каманды, зламыснік выкарыстаў «узламаныя закрытыя ключы» для выканання эксплойта і, такім чынам, змог падрабіць транзакцыі, каб атрымаць сродкі.

У цэлым зламыснік забраў 173,600 597 WETH або Wrapped Ethereum (амаль 25.5 мільёнаў долараў) і XNUMX мільёна USDC стейблкойн (25.5 мільёна долараў), што на момант напісання артыкула складае каля 622 мільёнаў долараў крыптафондаў. Большая частка выкрадзеных сродкаў да гэтага часу сядзіць у хакера папернік.

Паводле справаздачы, зламыснік змог падпісаць транзакцыі з пяці з дзевяці бягучых вузлоў валідатара ў сетцы Ronin, што з'яўляецца парогам, неабходным для зацвярджэння подпісаў. У рэшце рэшт, зламыснік атрымаў доступ да чатырох уласных валідатараў Sky Mavis, а таксама да аднаго, які кіруецца Axie DAO.

«Схема ключа валідатара настроена на дэцэнтралізацыю, каб абмяжоўваць вектар атакі, падобны да гэтага, але зламыснік знайшоў бэкдор праз наш безгазавы вузел RPC, якім яны злоўжывалі, каб атрымаць подпіс для валідатара Axie DAO. », - гаворыцца ў паведамленні.

«Гэта ўзыходзіць да лістапада 2021 года, калі Sky Mavis папрасіла дапамогу ў Axie DAO для распаўсюджвання бясплатных транзакцый з-за велізарнай нагрузкі на карыстальнікаў», — працягваецца ў паведамленні. «Axie DAO уключыла ў дазволены спіс Sky Mavis для падпісвання розных транзакцый ад яго імя. Гэта было спынена ў снежні 2021 года, але доступ да белага спісу не быў адкліканы».

Sky Mavis паведаміла, што звярнулася да праваахоўных органаў, крыміналістычных крыптаграфаў Chainalysis і ўласных інвестараў, каб «пераканацца, што ўсе сродкі вернуты або кампенсаваны».

У час інтэрв'ю на сцэне на сённяшняй канферэнцыі NFT у Лос-Анджэлесе сузаснавальнік Axie Infinity Джэф Зірлін ахарактарызаваў гэта як «адзін з самых вялікіх узломаў у гісторыі». Частка злітых сродкаў ужо была адпраўлена з кашалька зламысніка на біржы, і Зірлін сказаў, што «ёсць шанец, што іх можна будзе апазнаць і прыцягнуць да адказнасці».

У выніку парушэння бяспекі Sky Mavis спыніла мост, які злучае Ronin з Ethereum мэнэджэт, што дазваляе адпраўляць сродкі і актывы паміж імі і назад, а таксама дэцэнтралізаваную біржу Katana (DEX), які працуе на Ronin.

Акрамя таго, кампанія заявіла, што ўсе сродкі па-ранейшаму знаходзяцца на Ronin — у AXS і SLP Axie Infinity. лексемы, або ўласны токен кіравання RON Роніна — зараз у бяспецы. Sky Mavis выявіла парушэнне пасля таго, як нехта паспрабаваў зняць 5,000 ETH сваіх уласных сродкаў з Ronin і выявіў, што яны недаступныя праз мост.

Хак Ronin bridge, здаецца, падобны да хака Wormhole, крос-ланцуга Ethereum/Салана мост, які быў атакавалі на 320 мільёнаў долараў каштуе WETH у пачатку лютага. Відавочна, што Jump Crypto папоўніла скрадзеныя сродкі як стаўка на будучыню экасістэмы Solana.

Заўвага рэдактара: гэтая гісторыя была абноўлена, каб уключыць каментарыі ад сузаснавальніка Axie Infinity Джэф Зірлін на канферэнцыі NFT у Лос-Анджэлесе.

Лепшае з расшыфроўкі прама ў вашу паштовую скрыню.

Атрымлівайце штодзённыя, штотыднёвыя зводкі і глыбокія апусканні прама ў вашу паштовую скрыню.