Новый рекорд в области криптовалютных ограблений установили неизвестные хакеры, похитившие у NFT-игры Axie Infinityболее 600 млн долларов (173 600 ETH). В компании уверяют, что атака стала результатом социальной инженерии, а не какой-то уязвимости.
Axie Infinity – это децентрализованная игра, созданная вьетнамской студией Sky Mavis. Игра позволяет пользователям разводить, продавать и коллекционировать цифровых питомцев, а оборот ее торговых операций превышает миллиард долларов в год. Ранее Axie Infinity уже стала настоящим феноменом на Филиппинах, где тысячи пользователей зарабатывают с ее помощью неплохие деньги.
Еще в феврале 2021 года был запущен блокчейн Ronin, призванный сделать взаимодействие с Axie Infinity, базирующейся на Ethereum, менее затратным. Тогда как любые действия в Ethereum требуют немалых комиссий, Ronin позволяет совершать 100 бесплатных транзакций в день для каждого пользователя.
В блоге Ronin на этой неделе появилось сообщение о том, что проект стал жертвой кибератаки, в результате которой неизвестные, с помощью всего двух транзакций, похитил около 600 млн долларов США: 173 600 ETH (на сумму около 591 242 019 долларов) и стейблкоин USDC (на сумму 25,5 миллиона долларов).
Разработчики рассказывают, что атака произошла еще 23 марта 2022 года, но ее обнаружили только теперь, когда пользователи заметили, что не могут вывести средства. Атака включала компрометацию узлов валидатора Sky Mavis Ronin и узлов валидатора Axie DAO, после чего злоумышленник смог использовать мост Ronin в своих целях.
Так, сайндчейн Ronin имеет в общей сложности девять различных узлов валидации, пять из которых необходимо задействовать для любого ввода или вывода средств. В ходе атаки были скомпрометированы четыре валидатора Sky Mavis и один валидатор Axie DAO.
«Злоумышленник использовал хакнутые приватные ключи для подделки вывода средств. Мы обнаружили атаку только сегодня утром после того, как пользователь сообщил, что не может вывести 5 000 ETH», — пояснили в компании.
Сообщение в блоге гласит, что злоумышленники обнаружили бэкдор в gas-free узле RPC, управляемом Sky Mavis, что позволило ему получить контроль над узлом Axie DAO. Дело в том, что еще в ноябре 2021 года разработчики Axie DAO позволили Sky Mavis подписывать различные транзакции от своего имени, чтобы обрабатывать стремительно растущее количество транзакций. Эту практику прекратили уже в декабре, но «доступ к белому списку не был отозван».
В настоящее время Sky Mavies временно отключила кроссчейн-мост Ronin, а также связанную с ним децентрализованную биржу Katana DEX. Разработчики уверяют, что пользователям не о чем волноваться, так как RON и внутриигровые токены SLP и AXS в сайдчейне Ronin в безопасности.
Расследованием случившегося уже занимаются правоохранительные органы, а также эксперты Chainalysis и Crowdstrike. В компании говорят, что похищенные средства пока «еще находятся в кошельке хакера», хотя пользователи уже заметили, что злоумышленник вывел часть средств на биржу Binance.
В будущем разработчики обещают улучшить безопасность своего проекта, в частности увеличив количество необходимых для валидации узлов до восьми из девяти, а затем и количество валидаторов в целом.
