Tech

Kesan daripada penggodam Ronin Bridge Axie Infinity bernilai $650 juta

04/12/2022
Berita Bitcoin Ethereum

Pada penghujung bulan Mac, Ronin, rantai sisi Ethereum yang dibina untuk permainan token tidak boleh fungi yang popular untuk bermain untuk mendapatkan Axie Infinity, telah digodam untuk lebih 173,600 Ether (ETH) dan 25.5 juta USD Syiling (USDC) Untuk nilai gabungan lebih $600 juta

Pelanggaran pada jambatan Ronin telah disahkan oleh Sky Mavis, pembangun di sebalik permainan main-untuk-dapat (P2E) yang popular:

Laporan rasmi daripada syarikat itu menyatakan bahawa penggodam berjaya mendapatkan akses kepada kunci persendirian kepada nod pengesah yang mengakibatkan lima nod pengesah dikompromi, yang juga merupakan ambang yang diperlukan untuk meluluskan transaksi. Rantaian Ronin pada masa ini terdiri daripada sembilan nod pengesah dan penggodam berjaya mendapatkan akses kepada empat daripadanya bersama-sama dengan pengesah pihak ketiga yang dikendalikan oleh organisasi autonomi terpencar (DAO) Axie DAO.

Punca bagi eksploitasi itu boleh dikesan kembali ke tahun lepas apabila Axie DAO memberikan akses kepada Sky Mavis untuk menandatangani transaksi bagi pihaknya untuk mengurangkan jumlah pengguna. Walau bagaimanapun, akses ini tidak pernah dibatalkan, yang akhirnya membawa kepada akses pintu belakang oleh penggodam yang mengakibatkan penggodaman $600 juta.

Eksploitasi itu berlaku pada 23 Mac, hanya ditemui hampir seminggu kemudian selepas penggodam di sebalik serangan itu menggunakan dana yang dicuri untuk memendekkan Axie Infinity (Axs) dan Ronin (RON). Penggodam berharap untuk membuat lebih banyak wang daripada eksploitasi mereka, memikirkan berita tentang penggodaman crypto terbesar akhirnya akan menjatuhkan pasaran, namun, mereka telah dibubarkan sebelum berita itu tersebar:

Jambatan Ronin telah ditutup selepas itu, dengan semua deposit dan pengeluaran dihentikan sehingga siasatan selesai dan mungkin mengambil masa beberapa minggu sebelum jambatan itu dibuka untuk kegunaan awam semula. Pembangun di sebalik permainan itu sejak itu telah meminta bantuan daripada pelbagai bursa kripto dan kumpulan analisis kripto Chainalysis untuk menjejaki pergerakan dana dan memulihkannya.

Sky Mavis telah menolak kelemahan teknikal sebagai punca utama di sebalik eksploitasi dan menyalahkannya atas kejuruteraan sosial. Pemaju juga berjanji untuk membayar balik dan mendapatkan semula dana yang dicuri:

"Ini adalah serangan kejuruteraan sosial yang digabungkan dengan kesilapan manusia dari Disember 2021. Teknologi Sky Mavis adalah kukuh dan kami akan menambah beberapa pengesah baharu pada Rangkaian Ronin tidak lama lagi untuk memusatkan lagi rangkaian itu," berkata Pengasas bersama dan ketua pegawai operasi Axie Infinity Aleksander Leonard Larsen.

Pengubahan dan pembayaran balik 

Eksploitasi di jambatan Ronin agak serupa dengan apa yang berlaku di jambatan Wormhole untuk Solana, di mana pengeksploitasi berjaya melarikan diri dengan dana crypto bernilai $320 juta daripada platform jambatan silang. Kemudian pada bulan Februari, Jump Crypto — firma modal teroka — menyelamatkan pengguna yang dieksploitasi dan menambah 120,000 ETH.

Sky Mavis telah membuat janji yang sama selepas eksploitasi itu, mendakwa mereka akan memastikan pengguna yang terjejas dibayar balik walaupun dana yang hilang tidak dipulihkan. Pada 6 April, pencipta permainan popular menaikkan $ 150 juta diketuai oleh pertukaran kripto Binance dan pelabur lain.

Jurucakap Sky Mavis memberitahu Cointelegraph:

“Daripada jumlah yang dicuri, sekitar $400 juta adalah milik pengguna. Pusingan baharu, digabungkan dengan dana kunci kira-kira Sky Mavis dan Axie, akan memastikan semua pengguna dibayar balik. 56,000 ETH yang dikompromi daripada perbendaharaan Axie DAO akan kekal terlindung apabila Sky Mavis bekerjasama dengan penguatkuasa undang-undang untuk mendapatkan semula dana tersebut. Jika dana yang dicuri tidak dipulihkan sepenuhnya dalam tempoh dua tahun, Axie DAO akan mengundi langkah seterusnya untuk perbendaharaan.”

Ramai di dunia kripto berharap, seperti pengeksploitasi Rangkaian Poli, penggodam di sebalik eksploitasi Jambatan Ronin akhirnya akan memulangkan dana yang dicuri, kerana agak sukar untuk mencuci jumlah wang yang begitu tinggi. Walau bagaimanapun, belum ada sebarang bukti komunikasi sedemikian antara pembangun permainan dan penggodam dan syarikat itu enggan mengulas mengenai status komunikasi tersebut.

Elliptic, sebuah syarikat analitik data kripto, telah mengesan $540 juta daripada dana yang dicuri dan percaya penggodam telah mula melakukan pengubahan wang haram. Pertama, USDC yang dicuri ditukar kepada ETH pada pertukaran terdesentralisasi (DEX) untuk mengelakkan ia dibekukan. 

Pergerakan Dana Dicuri daripada Dompet Penggodam Ronin Bridge Sumber: Elips

Selepas menukar USDC dengan ETH, penggodam mula membasuh ETH melalui tiga pertukaran terpusat. 

Dompet milik penggodam Jambatan Ronin juga telah bermula menghantar dana kepada perkhidmatan pencampur mata wang seperti Tornado Cash. Perlu diingat bahawa pengeksploitasi Poly Network melakukan perkara yang sama pada mulanya tetapi akhirnya memutuskan untuk memulangkan dana kerana pengubahan wang haram dalam jumlah yang besar menjadi semakin sukar. Menurut laporan PeckShield, penggodam dicuci kira-kira $42 juta nilai dana, atau sekitar 7.5% daripada jumlah keseluruhan.

Pengubahan Dana Yang Dicuri oleh Ronin Bridge Hacker Sumber: PeckShield

“Penggodaman adalah bahagian yang paling mudah. Bahagian yang paling sukar ialah merancang dengan cukup awal untuk memastikan bahawa tunaikan dana itu berjaya. Lebih-lebih lagi, semakin besar penggodaman, semakin besar kemungkinan penggodam akan dapat melarikan diri dengan semua dana,” berkata Jonah Michaels, peneraju komunikasi di Immunefi — platform hadiah pepijat Web3.

Bolehkah hack ini telah dielakkan?

Walaupun tidak semua rantaian blok dibuat sama, mereka semua ditubuhkan berdasarkan prinsip desentralisasi, yang memastikan kuasa dan keselamatan tidak tertumpu di tangan satu entiti. Keperluan untuk desentralisasi diserlahkan oleh penggodaman besar pada Ronin ini. Apabila mereka bentuk sistem untuk orang ramai dengan matlamat untuk mengagihkan kuasa dan keselamatan, ia mestilah hanya: diedarkan. Penggunaan sembilan pengesah, empat daripadanya dikawal oleh satu pihak, telah terbukti tidak selamat.

Walaupun pembuat permainan mendakwa bahawa eksploitasi tidak berlaku kerana sebarang kelemahan teknikal, hakikat bahawa penggodam berjaya mengeksploitasi dan mendapatkan kemasukan pintu belakang ke salah satu nod pengesah mereka kerana pembangun terlupa untuk membatalkan akses kepada nod ketiga- pengesah pihak pastinya menyerlahkan tahap pemusatan tertentu dalam proses kelulusan pengesah. Ini akhirnya menjadi sebab kehilangan aset crypto bernilai $600 juta. 

Untuk permainan seperti Axie Infinity dengan penilaian $4 bilion dan pangkalan pengguna dalam lingkungan berjuta-juta, pembangun pasti boleh melakukan yang lebih baik dengan keselamatan jambatan silang, terutamanya apabila platform jambatan silang telah berada di hujung penerimaan beberapa kripto terbesar rompakan dalam beberapa tahun yang lalu.

Jean-Paul Faraq, ketua komuniti dan perkongsian Unstoppable Games, memberitahu Cointelegraph:

“Axie dan Ronin blockchain mereka jelas mempunyai niat yang baik dan visi yang besar. Sememangnya, memandangkan keadaan penskalaan pada Ethereum apabila Ronin dibina, anda mungkin berpendapat bahawa ia adalah pilihan yang tepat pada masa itu, tetapi mereka juga mempunyai dana untuk meneroka langkah-langkah yang teguh untuk memastikan blockchain mereka dilindungi dengan lebih baik. Mereka pasti akan melihat dengan teliti cara untuk menambah baik dan berkemungkinan keluar dari sisi lain dengan produk yang lebih mantap.”

Pembangun permainan telah berjanji untuk meningkatkan bilangan nod pengesah daripada sembilan kepada 21 pada suku akan datang. Mereka juga memberi jaminan bahawa jika dana yang dicuri tidak dipulihkan dalam tempoh dua tahun, Axie DAO akan mengundi untuk langkah seterusnya untuk perbendaharaannya.