Mart ayının sonlarında, popüler, kazanılması mümkün olmayan token oyunu Axie Infinity için inşa edilmiş bir Ethereum yan zinciri olan Ronin, toplam değeri 600 milyon doları aşan 173.600 Ether (ETH) ve 25.5 milyon USD Coin (USDC) için hacklendi.
Ronin köprüsündeki ihlal, popüler oyna-kazan (P2E) oyununun geliştiricileri Sky Mavis tarafından doğrulandı:
Ronin Network’te bir güvenlik ihlali oldu.https://t.co/ktAp9w5qpP
— Ronin (@Ronin_Network) 29 Mart 2022
Şirketten gelen resmi rapor, bilgisayar korsanlarının doğrulayıcı düğümlere özel anahtarlara erişmeyi başardığını ve bunun da bir işlemi onaylamak için gereken eşik olan beş doğrulayıcı düğümün tehlikeye girmesiyle sonuçlandığını belirtti. Ronin zinciri şu anda dokuz doğrulayıcı düğümden oluşuyor ve bilgisayar korsanı, merkezi olmayan özerk kuruluş (DAO) Axie DAO tarafından yürütülen bir üçüncü taraf doğrulayıcı ile birlikte bunlardan dördüne erişmeyi başardı.
İstismarın temel nedeni, Axie DAO’nun kullanıcı hacmini azaltmak için Sky Mavis adına işlemleri imzalaması için geçen yıla kadar izlenebilir. Ancak, bu erişim hiçbir zaman iptal edilmedi ve sonunda bilgisayar korsanları tarafından arka kapı erişimine ve 600 milyon dolarlık hack’lere yol açtı.
Saldırı 23 Mart’ta gerçekleşti ve saldırının arkasındaki bilgisayar korsanlarının çalınan fonları Axie Infinity (AXS) ve Ronin’i (RON) kısaltmak için kullanmasından yaklaşık bir hafta sonra keşfedildi. Bilgisayar korsanları, en büyük kripto hackiyle ilgili haberlerin sonunda piyasayı çökerteceğini düşünerek, istismarlarından daha fazla para kazanmayı umdular, ancak haberler ortaya çıkmadan önce tasfiye edildiler:
bunu telafi edemezsin
Hacker, Axie’nin altında yatan Ronin blok zincirinden ETH’de 600 Milyon Dolar çaldı
Hacker daha sonra Ronin & AXS’i (Axie belirteci) kısa keser, haber verilir verilmez belirteçlerin düşeceğini bilerek
Ama HİÇ KİMSE fark etmez ve haber kırılmadan kısa bir süre önce tasfiye edilirler.
— Eric Golden (@ericgoldenx) 29 Mart 2022
Ronin köprüsü sonrasında kapatıldı, tüm para yatırma ve çekme işlemleri soruşturma tamamlanana kadar durduruldu ve köprünün tekrar kamu kullanımına açılması birkaç hafta sürebilir. Oyunun arkasındaki geliştiriciler, o zamandan beri çeşitli kripto borsalarından ve kripto analitik grubu Chainalysis’ten fonların hareketini izlemek ve onları kurtarmak için yardım istedi.
Sky Mavis, istismarın arkasındaki temel neden olarak teknik güvenlik açıklarını dışladı ve sosyal mühendisliği suçladı. Geliştiriciler ayrıca çalınan fonları geri ödemeye ve geri almaya söz verdiler:
“Bu, Aralık 2021’den itibaren insan hatasıyla birleştirilmiş bir sosyal mühendislik saldırısıydı. Sky Mavis teknolojisi sağlam ve ağı daha fazla merkezsizleştirmek için kısa süre içinde Ronin Ağına birkaç yeni doğrulayıcı ekleyeceğiz.” dedim Axie Infinity’nin kurucu ortağı ve baş işletme görevlisi Aleksander Leonard Larsen.
Aklama ve geri ödeme
Ronin köprüsündeki istismar, istismarcıların çapraz köprü platformundan 320 milyon dolarlık kripto fonu ile kurtulmayı başardığı Solana için Wormhole köprüsünde olanlara oldukça benziyordu. Şubat ayının ilerleyen saatlerinde, bir risk sermayesi şirketi olan Jump Crypto, sömürülen kullanıcıları kurtardı ve 120.000 ETH’yi yeniledi.
Sky Mavis, istismarın ardından benzer bir söz vermişti ve kayıp fonlar geri alınmasa bile etkilenen kullanıcıların geri ödenmesini sağlayacağını iddia etmişti. 6 Nisan’da popüler oyunun yaratıcıları, kripto borsası Binance ve diğer yatırımcılar tarafından yönetilen 150 milyon dolar topladı.
Bir Sky Mavis sözcüsü Cointelegraph’a şunları söyledi:
“Çalınan toplam miktarın yaklaşık 400 milyon doları kullanıcılara ait. Sky Mavis ve Axie bilanço fonlarıyla birleştirilen yeni tur, tüm kullanıcılara geri ödeme yapılmasını sağlayacaktır. Sky Mavis fonları geri almak için kolluk kuvvetleriyle birlikte çalıştığından, Axie DAO hazinesinden tehlikeye atılan 56.000 ETH, teminatsız kalmaya devam edecek. Çalınan fonlar iki yıl içinde tamamen geri alınmazsa, Axie DAO hazine için sonraki adımlara oy verecek.”
Kripto dünyasındaki birçok kişi, Poly Network’ün istismarcısı gibi, Ronin Bridge istismarının arkasındaki hacker’ın, bu kadar yüksek miktarda parayı aklamak oldukça zor olduğu için, çalınan fonları eninde sonunda iade edeceğini umuyordu. Ancak, oyun geliştiricileri ve bilgisayar korsanları arasında bu tür bir iletişime dair herhangi bir kanıt bulunamadı ve şirket, bu tür iletişimlerin durumu hakkında yorum yapmaktan kaçındı.
Bir kripto veri analizi şirketi olan Elliptic, çalınan 540 milyon dolarlık fonun izini sürdü ve bilgisayar korsanlarının şimdiden parayı aklamaya başladığına inanıyor. İlk olarak, çalınan USDC, dondurulmasını önlemek için merkezi olmayan borsalarda (DEX’ler) ETH ile değiştirildi.
USDC’yi ETH ile değiştirdikten sonra, bilgisayar korsanları üç merkezi borsa aracılığıyla ETH’yi aklamaya başladı.
Ronin Bridge bilgisayar korsanlarına ait cüzdan, Tornado Cash gibi para birimi karıştırma hizmetlerine de para göndermeye başladı. Poly Network istismarcısının ilk başta aynı şeyi yaptığını, ancak sonunda bu kadar büyük bir meblağı aklamak giderek zorlaştığı için fonları iade etmeye karar verdiğini belirtmekte fayda var. PeckShield raporuna göre, bilgisayar korsanları aklanmış yaklaşık 42 milyon dolar değerinde fon veya toplamın yaklaşık %7,5’i.
“Hack yapmak işin en kolay kısmı. En zor kısım, fonları nakde çevirmenin başarılı olduğundan emin olmak için yeterince önceden planlama yapmaktır. Üstelik, saldırı ne kadar büyük olursa, bilgisayar korsanlarının tüm fonları elde etmesi o kadar olası değildir, “diyor bir Web3 hata ödül platformu olan Immunefi’nin iletişim sorumlusu Jonah Michaels.
Bu hack önlenebilir miydi?
Tüm blok zincirleri eşit yapılmasa da, hepsi güç ve güvenliğin tek bir varlığın elinde toplanmamasını sağlayan ademi merkeziyetçilik ilkesine dayanmaktadır. Ronin’e yapılan bu muazzam saldırı, ademi merkeziyetçiliğe duyulan ihtiyacın altını çiziyor. Gücü ve güvenliği dağıtmak amacıyla kamu için sistemler tasarlarken, tam olarak şu olmalıdır: dağıtılmış. Dördü tek bir tarafça kontrol edilen dokuz doğrulayıcının kullanımının güvensiz olduğu kanıtlanmıştır.
Oyunun yapımcıları, istismarın herhangi bir teknik eksiklik nedeniyle gerçekleşmediğini iddia etse de, bilgisayar korsanlarının, geliştiricilerin üçüncü düğüme erişimi iptal etmeyi unuttukları için doğrulama düğümlerinden birine arka kapıdan girmeyi ve sömürmeyi başardıkları gerçeği. parti doğrulayıcı, doğrulayıcı onay sürecinde kesinlikle belirli bir merkezileşme düzeyini vurgular. Bu, sonunda 600 milyon dolarlık kripto varlığının kaybının nedeni oldu.
Axie Infinity gibi 4 milyar dolarlık bir değerleme ve milyonlarca kullanıcı tabanına sahip bir oyun için, geliştiriciler, özellikle çapraz köprü platformları en büyük kripto para birimlerinden bazılarının alıcı tarafındayken, çapraz köprü güvenliği konusunda kesinlikle daha iyisini yapabilirdi. son birkaç yıldaki soygunlar.
Unstoppable Games topluluk ve ortaklık başkanı Jean-Paul Faraq, Cointelegraph’a şunları söyledi:
“Axie ve blok zinciri Ronin açıkça iyi niyetlere ve büyük bir vizyona sahip. Aslında, Ronin inşa edildiğinde Ethereum’da ölçeklendirme durumu göz önüne alındığında, o zaman doğru seçim olduğunu iddia edebilirsiniz, ancak blok zincirlerinin daha iyi korunmasını sağlamak için sağlam önlemleri keşfetmek için fonları da vardı. Nasıl iyileştirilebileceği konusunda kesinlikle uzun bir inceleme yapacaklar ve muhtemelen diğer taraftan daha sağlam bir ürünle çıkacaklar.”
Oyunun geliştiricileri, önümüzdeki çeyrekte doğrulayıcı düğüm sayısını dokuzdan 21’e çıkarmaya söz verdiler. Ayrıca, çalınan fonlar iki yıl içinde geri alınmazsa, Axie DAO’nun hazinesi için sonraki adımlar için oy kullanacağına dair güvence verdiler.
