Вкратце
- Ronin, сайдчейн Ethereum для игры NFT Axie Infinity, подвергся значительной уязвимости.
- В общей сложности из моста, соединяющего Ronin с основной сетью Ethereum, было выведено около 622 миллионов долларов Ethereum и USDC.
Ронин, ан Эфириум сайдчейн, разработанный для популярной игры NFT Axie Infinity, стал жертвой взлома, в результате которого из его моста была украдена криптовалюта на сумму около 625 миллионов долларов.
Разработчик Sky Mavis объявил новости сегодня, написав, что эксплойт был совершен 23 марта, но обнаружен только сегодня. Злоумышленник использовал «взломанные закрытые ключи» для выполнения эксплойта, согласно отчету команды, и, таким образом, смог подделать транзакции для получения средств.
В общей сложности злоумышленник забрал 173,600 597 WETH или Wrapped Ethereum (почти 25.5 миллионов долларов) и XNUMX миллиона USDC стейблкоин (25.5 млн долларов), что на момент написания этой статьи составило около 622 млн долларов крипто-фондов. Большая часть украденных средств до сих пор сидит в хакерской бумажник.
Согласно отчету, злоумышленник смог подписать транзакции с пяти из девяти текущих узлов валидатора в сети Ronin, что является порогом, необходимым для утверждения подписи. В конечном итоге злоумышленник получил доступ к четырем собственным валидаторам Sky Mavis, а также к одному, управляемому Axie DAO.
«Схема ключа валидатора настроена так, чтобы быть децентрализованной, чтобы ограничить вектор атаки, подобный этому, но злоумышленник нашел бэкдор через наш безгазовый RPC-узел, которым они злоупотребили, чтобы получить подпись для валидатора Axie DAO. ", - говорится в сообщении.
«Это восходит к ноябрю 2021 года, когда Sky Mavis запросила помощь у Axie DAO для распространения бесплатных транзакций из-за огромной пользовательской нагрузки», — продолжает он. «Axie DAO включила Sky Mavis в белый список для подписания различных транзакций от ее имени. Это было прекращено в декабре 2021 года, но доступ к белому списку не был отозван».
Sky Mavis заявила, что задействовала правоохранительные органы, судебных криптографов из Chainalysis и своих собственных инвесторов, чтобы «убедиться, что все средства возвращены или возмещены».
Во время интервью на сцене На сегодняшней конференции NFT в Лос-Анджелесе соучредитель Axie Infinity Джефф Зирлин назвал это «одним из самых крупных взломов в истории». Часть выведенных средств уже отправлена с кошелька злоумышленника на биржи, и Цирлин сказал, что «есть шанс, что их удастся идентифицировать и привлечь к ответственности».
Источник: https://decrypt.co/96322/hacker-622-million-axie-infinity-ronin-ethereum