בקיצור
- רונין, ה-sidechain של Ethereum למשחק ה-NFT Axie Infinity, ספג ניצול ניכר.
- בסך הכל, כ-622 מיליון דולר של Ethereum ו-USC נוקזו מהגשר שמחבר את רונין לרשת המרכזית של Ethereum.
רונין, אן Ethereum sidechain שפותח עבור משחק ה-NFT המצליח אקסי אינסוף, היה ממוקד בפריצה שראתה מטבע קריפטוגרפי בשווי מוערך של 625 מיליון דולר התרוקן מהגשר שלה.
מפתח Sky Mavis הודיעה היום על החדשות, כותב שהניצול התרחש ב-23 במרץ אך התגלה רק מוקדם יותר היום. התוקף השתמש ב"מפתחות פרטיים שנפרצו" כדי לבצע את הניצול, לפי דוח הצוות, וכך הצליח לזייף עסקאות כדי לתבוע את הכספים.
בסך הכל, התוקף לקח 173,600 WETH או Wrapped Ethereum (כמעט 597 מיליון דולר) ו-25.5 מיליון דולר ארה"ב stablecoin (25.5 מיליון דולר), מסתכם בכ-622 מיליון דולר של קרנות קריפטו נכון לכתיבת שורות אלה. רוב הכספים הגנובים עדיין יושב אצל ההאקר ארנק.
לפי הדיווח, התוקף הצליח לחתום על עסקאות מחמישה מתוך תשעת צמתי האימות הנוכחיים ברשת רונין, שזה הסף הדרוש לאישור חתימות. בסופו של דבר, התוקף השיג גישה לארבעת המאמתים של Sky Mavis עצמו, יחד עם אחד המופעל על ידי Axie DAO.
"סכימת מפתחות האימות מוגדרת להיות מבוזרת כך שהיא מגבילה וקטור התקפה, בדומה לזה, אבל התוקף מצא דלת אחורית דרך צומת ה-RPC נטול הגז שלנו, בה הם השתמשו לרעה כדי לקבל את החתימה עבור מאמת ה-Axie DAO ", נכתב בדו"ח.
"זה נובע מנובמבר 2021 כאשר Sky Mavis ביקשה עזרה מ-Axie DAO להפיץ עסקאות בחינם עקב עומס משתמשים עצום", נכתב. "ה-Axie DAO הרשימה את Sky Mavis לחתום על עסקאות שונות בשמה. זה הופסק בדצמבר 2021, אך הגישה לרשימת ההיתרים לא בוטלה".
Sky Mavis אמרה כי היא פנתה לאכיפת החוק, לקריפטוגרפים משפטיים ב-Chainalysis ולמשקיעים שלה כדי "לוודא שכל הכספים יוחזרו או יוחזרו".
במהלך ראיון על הבמה בכנס NFT LA היום, מייסד שותף של Axie Infinity, ג'ף צירלין, תיאר זאת כ"אחת הפריצות הגדולות בהיסטוריה". חלק מהכספים המרוקנים כבר נשלחו מארנקו של התוקף לבורסות, וצירלין אמר כי "יש סיכוי שניתן לזהות אותם ולהעמידם לדין".
מקור: https://decrypt.co/96322/hacker-622-million-axie-infinity-ronin-ethereum