Axie Infinity hackede for 625 millioner dollars… og ingen lægger mærke til det

Axie Infinity hackede for 625 millioner dollars… og ingen lægger mærke til det

By Donal Ashbourne - Min. læsning (kort)
Opdateret 03 April 2022

En hurtig Google-søgning fortæller mig, at historiens største banktyveri fandt sted i Bagdad, Irak, hvor 282 millioner dollars blev stjålet. Der er mistanke om, at der var tale om et internt arbejde, orkestreret af flere bankvagter. Det gennemsnitlige bankrøveri i Amerika er i mellemtiden tilsyneladende $6.500 .

Det er nemt at miste perspektivet, når man læser om disse enorme mængder penge i krypto. Men mod ovenstående tal fra den virkelige verden slår det virkelig ind, hvor stort det seneste hack i krypto er.

Axie Infinity er et blockchain-baseret handels- og kampspil, hvor spillere kan avle, opdrage og handle token-baserede væsner kaldet Axies. Det er en af de største succeshistorier inden for kryptospil; med en markedsværdi på 3,9 milliarder dollars, er den inde i de 50 bedste kryptoer.

I sidste uge blev Axie hacket for 625 millioner dollars. Og ingen lagde mærke til det.

Farvel 625 millioner dollars

I går blev det afsløret, at 625 millioner dollars blev swipet fra Ronin, som er den underliggende blockchain for Axie. Mens de stjålne midler blev afsløret i en erklæring på substack, fandt hacket faktisk sted seks dage tidligere. "Der har været et sikkerhedsbrud", starter udtalelsen. Ja, det har der bestemt.

Ronin-broen, som letter ind- og udbetalinger, blev udnyttet til 173.600 ETH (tæt på $600 millioner) og $25.5 millioner af stablecoin USDC. Det er vigtigt, at Sky Mavis bekræftede, at Axie NFT-tokens (brugt til at komme ind i Axie Infinity-spillet), såvel som i spillets valutaer AXS og ALP, var sikre. Men det er et svimlende tilfælde af uagtsomhed med hensyn til opbevaring af investormidler.

Vi tog fat i Ahmad Duais, administrerende direktør for Battle Drones, som er et play-to-earn-spil på Solana blockchain, for at få nogle tanker inde fra branchen. Han sagde, at "broer stadig er et udviklingsområde. GameFi-modellen er sådan en revolution, at vi i den nærmeste fremtid alle vil se tilbage på dette som en læringskurve, der ligner de hacks, der er sket i starten af enhver innovation."

Hvordan?

Sky Mavis, der driver både Axie Infinity og Ronin, udtalte, at "angriberen brugte hackede private nøgler for at forfalske falske udbetalinger". Angrebet blev først opdaget i går, da en bruger ikke var i stand til at hæve 5.000 ETH ($17 millioner) fra broen. Hackeren havde tidligere gennemført to falske hævninger.

Med andre ord tillod en fejl i Sky Mavis' kode hackeren at få kontrol over Sky Mavis' validatorer, som sammen med en tredjepartsvalidator gav hackeren frihed til at dræne kassen til en værdi af over 600 millioner dollars. Ikke nok med at Sky Mavis' udviklere tabte bolden på koden, det tog dem næsten en uge at bemærke, at de havde et hul på $600 millioner på deres balance.

midler

Det er det næststørste kryptohack nogensinde, lige efter hacket fra Poly Network sidste sommer, selvom disse midler blev returneret af hackeren. I dette tilfælde bekræftede Ronin, at de "arbejder sammen med retshåndhævende embedsmænd, retsmedicinske kryptografer og vores investorer for at sikre, at alle midler bliver inddrevet eller refunderet". Om de lykkes eller ej, er dog en helt anden historie; Lige nu har alle spillere, der har indbetalt penge til Ronin, mistet det hele.

Ethscan viser placeringen af midlerne

Blockchain er bockchain, men placeringen af fondene kan ses i øjeblikket – med alle $600 millioner ETH, der ligger komfortabelt i ovenstående pung på Ethereum blockchain.

Blockchain giver også mulighed for, at meddelelser kan indtastes som en del af transaktioner. Når du graver gennem hackerens tegnebog, kan du se, at flere investorer, der mistede deres midler, desperat har forsøgt at appellere til enhver menneskelig side, der måtte eksistere i hackerens sind.

Et offer råber til hackeren på ethscan

Det er også en skarp påmindelse om, at på trods af alle de fremskridt, DeFi har gjort, er det stadig en begyndende industri fyldt med risiko. Det kommer til spændende steder, men rejsen kan til tider være stenet, som for enhver ny industri. I denne uge så vi over 600 millioner eksempler på sådanne.