כבר די הרבה זמן, רב שרשרת או חוצה שרשרת הטכנולוגיה הפכה לגביע קדוש בתחום הפיתוח של מטבעות קריפטוגרפיים. אנשים רוצים לבצע עסקות עם בלוקצ'יין אחרים על ידי מינוף גשרים למערכות אקולוגיות שונות. לדוגמה, מייסד ומפתח משותף של Ethereum ויטליק בוטרין צייץ קישור לפוסט של Reddit ב-8 בינואר, 2022.
הוא דן באמונתו בעתיד מרובה שרשרת אך הביע ספק בנוגע למערכות אקולוגיות חוצות שרשרת. בטיעונו, בוטרין מצוטט "מגבלות האבטחה היסודיות של גשרים" כסיבה העיקרית לאי הסכמתו לסביבה חוצת שרשרת.
אם כי, הוא לא ציפה שיהוקים יתעוררו בזמן הקרוב. אבל שימו לב לכך - ככל שגדל נפח המטבעות הקריפטו המוחזקים בגשרים, התמריץ לתקוף גם אותם.
מאז, האקרים עשו זאת נפגע יותר ממיליארד דולר למרות אזהרות כאלה.
הבט הצידה, ויטליק
רשת רונין, שרשרת צד מבוססת את'ריום נוצר על ידי אקסי אינסוף מפתחים סקיי מאוויס מגמה מהסיבה הלא נכונה. האקרים גנבו אסימוני Ethereum ו-USDC בשווי של כמעט 600 מיליון דולר מגשר רונין שחיבר בין בלוקצ'יין שונים.
על פי פוסט בבלוג שפרסם ה-Substack הרשמי של רשת רונין, הניצול השפיע על צמתי האימות של רשת רונין עבור Sky Mavis, המפרסמים של המשחק הפופולרי Axie Infinity, וה Axie DAO.
הייתה פרצת אבטחה ברשת רונין.https://t.co/ktAp9w5qpP
— רונין (@Ronin_Network) במרץ 29, 2022
לדברי פקיד הצהרה ביום שלישי, התוקף "השתמש במפתחות פרטיים פרוצים כדי לזייף משיכות מזויפות" מחוזה הגשר של רונין בשתי עסקאות. לפי הפוסט בבלוג, שרשרת הצד של רונין כללה תשעה צמתים מאמתים.
חמש מתוך תשע חתימות האימות נדרשות לעיבוד הפקדה או משיכה. אכן, נעשה כדי למנוע פריצות מסוג זה. (בהקשר, ל-Ethereum יש כ-300,000 מאמתים, בעוד שלסולאנה יש קרוב יותר ל-1,000)
עם זאת, הפוסט בבלוג הוסיף:
"התוקף מצא דלת אחורית דרך צומת ה-RPC נטול הגז שלנו. הם התעללו כדי לקבל את החתימה עבור מאמת ה-Axie DAO."
גשר רונין וקטנה דקס קיבלו נעצרה לאחר שספג ניצול עבור 173,600 Ethereum (ETH) ו-25.5 מיליון מטבע דולר (USDC). בזמן העיתונות, זה יהיה שווה 612 מיליון דולר ביחד.
אנו עובדים עם גורמי אכיפת חוק, קריפטוגרפים משפטיים והמשקיעים שלנו כדי לוודא שכל הכספים יוחזרו או יוחזרו. כל ה-AXS, RON ו-SLP על רונין בטוחים כרגע.
— רונין (@Ronin_Network) במרץ 29, 2022
רק התחלה?
כעת, הנה כמה תובנות מעניינות על השוד הזה. הניצול האמור התרחש ב-23 במרץ, שהתגלה רק שבוע לאחר מכן, כאשר משתמש אחד לא הצליח למשוך 5,000 ETH.
כ-6,250 אתר, או 21 מיליון דולר, הועברו מכתובת הארנק של התוקף, כולל מספר ETH שהועברו ל-FTX Exchange, לפי Etherscan.
תאר לעצמך לגנוב 600 מיליון לפני 6 ימים ולהפקיד כסף על @FTX_Officialhttps://t.co/nYWYC1jJ1J pic.twitter.com/YGzr7uyk5Q
- איגור איגמברדיב (@FrankResearcher) במרץ 29, 2022
לפני הניצול, אותו ארנק קיים אינטראקציה בינאנסוארנקים אחרים המחוברים להאקר ביצעו מאז הפקדות ל FTX ו Crypto.com. לפי וו בלוקצ'יין, היציאה האחרונה התרחשה באופן הבא:
בשעה 5:11:46 UTC ב-29 במרץ, סך של 3750 ETH הועברו משלושה ארנקי כתובת האקרים של Ronin Bridge לתוך Huobi. הפריצה של גשר רונין מצטלבת רק לעתים נדירות עם כתובות מרכזיות מרכזיות רבות. הועבר בעבר ל-FTX. https://t.co/T8OY9VKWeP
- וו בלוקצ'יין (@WuBlockchain) במרץ 30, 2022
השלבים הבא
צוות רונין אמר שהוא הגדיל את המספר המינימלי של חתימות אימות הנדרשות להפקדה או משיכה לשמונה בתגובה לאירוע. פלטפורמות שונות הציגו תמיכה בפרוטוקול המושפע לאחר שסבל מהטבח הזה. לדוגמה, מנכ"ל Binance צייץ:
הצוות שלנו נמצא בקשר עם צוות AxieInfinity המספק סיוע במעקב אחר בעיה זו. https://t.co/pNU4wwrCAq
- CZ? Binance (@cz_binance) במרץ 29, 2022
נזק גדול: המחיר של RON, אסימון בשימוש ב-Ronin blockchain, ירד בכ-22% לאחר הפריצה. AXS, אסימון בשימוש ב-Axie Infinity, ירד בסביבות 10.5% בו זמנית. לפי הנתונים של בלומברג, פריצה זו עמדה במקום השני מבחינת פריצות קריפטו (הערכת שווי).
בזמן הפרסום, רוב הכספים שנפרצו עדיין יושבים בתוך זה של התוקף ארנק.
מקור: https://ambcrypto.com/ronins-612-million-hack-exposes-these-vulnerabilities-of-cross-chain-bridges/