هک ۶۲۵ میلیون دلار از بلاک چین NFT Axie Infinity رونین دزدید


نزدیک به ۶۲۵ میلیون دلار ارز دیجیتال از رونین، بلاک چین اصلی بازی محبوب رمزنگاری به سرقت رفت. محور بی نهایت. رونین و محور بی نهایت اپراتور Sky Mavis روز سه‌شنبه این هک را فاش کرد و تراکنش‌های روی پل رونین را مسدود کرد و به این ترتیب امکان واریز و برداشت وجوه از زنجیره بلوکی این شرکت فراهم شد.

Sky Mavis می‌گوید که با مجریان قانون همکاری می‌کند تا ۱۷۳۶۰۰ ETH (در حال حاضر به ارزش حدود ۶۰۰ میلیون دلار) و ۲۵.۵ میلیون دلار (یک ارز دیجیتال متصل به دلار آمریکا) از عاملی که در ۲۳ مارس آن را از شبکه خارج کرد، بازیابی کند. این حمله بر روی پل بلاک چین رونین Sky Mavis متمرکز شد که یک واسطه بین آنهاست محور بی نهایت و دیگر بلاک چین های ارزهای دیجیتال مانند اتریوم. کاربران می‌توانند اتریوم یا USDC را به رونین واریز کنند، سپس توکن‌های غیرقابل تعویض یا ارز درون بازی بخرند، یا می‌توانند دارایی‌های درون بازی خود را بفروشند و وجوه را برداشت کنند.

به گفته Sky Mavis، مهاجم از کلیدهای امنیتی خصوصی به خطر افتاده برای نفوذ به گره های شبکه استفاده کرده است که انتقال به و از زنجیره بلوکی Ronin را تأیید می کند. این به مهاجم اجازه می‌دهد تا مقادیر زیادی از اتریوم و USDC را بی‌صدا برداشت کند. این انتقال امروز – حدود یک هفته بعد – زمانی که کاربر دیگری تلاش کرد ۵۰۰۰ اتریوم را از طریق پل برداشت کند، کشف شد.

Sky Mavis می گوید بازیکنان برای دسترسی به آنها باید توکن های NFT “axie” را خریداری کنند محور بی نهایت هک نشد و ارز دیجیتال SLP و AXS درون بازی برای مبارزه و پرورش خارپشت های کارتونی پوکمون مانند استفاده نشد. (افشا: آدی ماه گذشته سه تبر به مبلغ ۱۰۵ دلار برای گزارش بازی خریداری کرد؛ کلنگ ها در حال حاضر از حدود ۲۵ دلار برای هر قطعه شروع می شوند.) سرنوشت وجوه سایر کاربران در بلاک چین رونین مورد بحث است. Sky Mavis می‌گوید که «با مقامات مجری قانون، کارشناسان قانونی ارزهای دیجیتال و سرمایه‌گذاران ما کار می‌کند تا مطمئن شود که وجوه کاربران از بین نمی‌رود و این را «اولویت اصلی» خود می‌نامد.

گره های اعتبار سنجی یکی از ویژگی های بلاک چین اثبات سهام مانند رونین هستند که نسبت به سیستم های اثبات کار مانند بیت کوین و اتریوم انرژی کمتری مصرف می کنند. گره ها تراکنش های جدید را بررسی می کنند تا اطمینان حاصل کنند که ورودی ها و خروجی های آنها مطابقت دارند و امضاهای مجوز معتبر هستند و هرگونه تراکنش ناسازگار را رد می کنند. استفاده از گره‌های کمتر سریع‌تر و کارآمدتر است – اما همانطور که هک نشان می‌دهد، اگر اکثر گره‌ها به خطر بیفتند، می‌تواند منجر به خطرات امنیتی شود. این یک آسیب پذیری امنیتی بالقوه در بلاک چین است که به عنوان ارزان تر و سازگارتر با محیط زیست نسبت به اتریوم تبلیغ می شود.

به گفته اسکای ماویس، حمله رونین تا حدی به دلیل میانبری که این شرکت برای کاهش “بار عظیم کاربر” در شبکه خود در نوامبر سال گذشته انجام داد امکان پذیر شد – ماه ها پس از گسترش بازی به فیلیپین و سایر کشورهایی که بازیکنان در آن جا پخش شدند. به عنوان یک شغل تمام وقت به آن متکی بود. این سیستم در دسامبر بسته شد، اما مجوزهایی که به آن اجازه می‌داد لغو نشدند. مهاجم علاوه بر چشم پوشی از چهار قرارداد خصوصی Sky Mavis خود، از آنها برای دسترسی به یکی که توسط انجمن Axie DAO اداره می شود، سوء استفاده کرد. پس از هک کردن پنج گره از ۹ گره اعتبار سنجی، مهاجم می تواند به طور موثری هر گونه امنیت تراکنش را دور بزند و هر پولی را که می خواهد برداشت کند.

Sky Mavis می‌گوید که تعداد گره‌های مورد نیاز برای تراکنش‌ها را به هشت عدد افزایش می‌دهد و پل رونین را «در زمان دیگری» بازگشایی می‌کند، وقتی مطمئن شد که دیگر پول تخلیه نشده است. در حال حاضر، به نظر می رسد هک رونین بزرگترین هک تا به امروز شبکه های “مالی غیرمتمرکز” باشد و به دنبال سرقت ۳۲۲ میلیون دلاری از پروتکل پل Wormhole در ماه گذشته صورت گرفت.

این شرکت در بیانیه خود گفت: «همانطور که دیدیم، رونین از سوء استفاده مصون نیست و این حمله اهمیت اولویت دادن به امنیت، حفظ هوشیاری و کاهش همه تهدیدها را تقویت کرده است. ما می دانیم که اعتماد باید جلب شود و از هر منبعی که در اختیار داریم برای به کارگیری پیشرفته ترین اقدامات و رویه های امنیتی برای جلوگیری از حملات آینده استفاده می کنیم.”