Popüler kripto oyununun altında yatan blok zinciri Ronin’den yaklaşık 625 milyon dolar değerinde kripto para çalındı. eksen sonsuz. Ronin ve eksen sonsuz operatör Sky Mavis ihlali ortaya çıkardı Salı günü ve şirketin blok zincirinden para yatırmaya ve çekmeye izin veren Ronin köprüsündeki işlemleri dondurdu.
Sky Mavis, 23 Mart’ta ağdan çekilen suçludan 173.600 Ethereum (şu anda yaklaşık 600 milyon dolar değerinde) ve 25.5 milyon USDC’yi (ABD dolarına sabitlenmiş bir kripto para birimi) kurtarmak için kolluk kuvvetleriyle birlikte çalıştığını söyledi. Saldırı, aralarında bir aracı olan Sky Mavis’in Ronin blok zincirine giden köprüye odaklandı. eksen sonsuz ve Ethereum gibi diğer kripto para birimi blok zincirleri. Kullanıcılar, Ethereum veya USDC’yi Ronin’e yatırabilir, ardından takas edilemeyen jeton öğeleri veya oyun içi para birimi satın alabilir veya oyun içi varlıklarını satabilir ve parayı çekebilir.
Sky Mavis’e göre, bir saldırgan, Ronin blok zincirine ve blok zincirinden yapılan transferleri doğrulayan ağ düğümlerini tehlikeye atmak için saldırıya uğramış özel güvenlik anahtarları kullandı. Bu, saldırganın büyük miktarlarda Ethereum ve USDC’yi sessizce geri çekmesini sağlar. Transfer bugün – yaklaşık bir hafta sonra – başka bir kullanıcı köprüden 5.000 Ethereum çekmeye çalıştığında keşfedildi.
Sky Mavis, oyuncuların erişmek için satın alması gereken “axie” NFT tokenlerinin olduğunu söylüyor eksen sonsuz Pokémon benzeri çizgi film aksolotllarıyla savaşmak ve üremek için SLP ve AXS oyun içi kripto para birimleri kullanılmadı. (Açıklama: Adi, oyun hakkında rapor vermek için geçen ay toplam 105 $’a üç eksen satın aldı; eksenler şu anda yaklaşık 25 $ ‘dan başlıyor.) Ancak para çekme ve para yatırma işlemlerinin dondurulması birçok yeni oyuncuyu etkili bir şekilde kilitler ve hack bırakır Söz konusu Ronin blok zincirindeki diğer kullanıcı fonlarının kaderi. Sky Mavis, “kullanıcı fonlarında herhangi bir kayıp olmamasını sağlamak için kolluk kuvvetleri, adli kriptograflar ve yatırımcılarımızla birlikte çalışıyor” diyor ve bunu “birinci önceliği” olarak nitelendiriyor.
Doğrulayıcı düğümler, Bitcoin ve Ethereum gibi iş kanıtı sistemlerinden daha az enerji yoğun olan Ronin gibi hisse kanıtı blok zincirlerinin bir özelliğidir. Düğümler, girdi ve çıktılarının eşleştiğini ve yetkilendirme imzalarının geçerli olduğunu doğrulamak için yeni işlemleri gözden geçirerek uygun olmayan işlemleri reddeder. Daha az sayıda düğüm kullanmak daha hızlı ve daha verimlidir – ancak saldırının gösterdiği gibi, düğümlerin çoğunluğu tehlikeye girerse güvenlik riskleri oluşturabilir. Ethereum’dan hem daha ucuz hem de daha çevre dostu olarak lanse edilen blok zincirleri için potansiyel bir güvenlik açığı.
Sky Mavis’e göre, Ronin saldırısı, kısmen, şirketin ağındaki “büyük kullanıcı yükünü” hafifletmek için kullandığı bir kısayol nedeniyle, geçen yılın Kasım ayında – oyundan aylar sonra – mümkün oldu. Filipinler’de popülaritesi patladı ve oyuncuların tam zamanlı bir iş olarak buna güvendiği diğer ülkeler. Sistem Aralık ayında durduruldu, ancak buna izin veren izinler hiçbir zaman iptal edilmedi. Saldırgan, Sky Mavis’in kendi düğümlerinden dördünü tehlikeye atmanın yanı sıra, topluluğa ait Axie DAO tarafından yönetilen bir düğüme erişmek için bunlardan yararlandı. Saldırgan, dokuz doğrulayıcı düğümden beşini tehlikeye attıktan sonra, herhangi bir işlem güvenliğini etkin bir şekilde geçersiz kılabilir ve istediği parayı çekebilir.
Sky Mavis, işlemler için gereken düğüm sayısını sekize çıkaracağını ve daha fazla fonun boşaltılamayacağından emin olduğunda Ronin köprüsünü “daha sonraki bir tarihte” yeniden açacağını söyledi. Şimdilik, Ronin ihlali, “merkezi olmayan finans” ağlarının bugüne kadarki en büyük hack’i gibi görünüyor. 322 milyon dolarlık hırsızlık Geçen ayki köprü protokolü Wormhole’dan.
Şirket yaptığı açıklamada, “Gördüğümüz gibi, Ronin istismara karşı bağışık değildir ve bu saldırı, güvenliğe öncelik vermenin, tetikte kalmanın ve tüm tehditleri azaltmanın önemini pekiştirdi” dedi. “Güvenin kazanılması gerektiğini biliyoruz ve gelecekteki saldırıları önlemek için en gelişmiş güvenlik önlemlerini ve süreçlerini uygulamak için elimizdeki her kaynağı kullanıyoruz.”
