Axie Infinity hacket for 625 millioner $ og ingen la merke til det

Axie Infinity hacket for 625 millioner $ og ingen la merke til det

By Donal Ashbourne - Lesetid i minutter

Et raskt Google-søk forteller meg at historiens største bankran fant sted i Bagdad, Irak, hvor 282 millioner dollar ble stjålet. Det er mistanke om at det var en innsidejobb, orkestrert av flere bankvakter. Det gjennomsnittlige bankranet i Amerika er i mellomtiden tilsynelatende 6500 dollar .

Det er lett å miste perspektivet når du leser om disse enorme pengebeløpene i krypto. Men mot de ovennevnte tallene fra den virkelige verden, treffer det virkelig hvor stort det siste hacket innen krypto er.

Axie Infinity er et blokkjedebasert handels- og kampspill hvor spillere kan avle, oppdra og handle tokenbaserte skapninger kalt Axies. Det er en av de største suksesshistoriene innen kryptospill; med en markedsverdi på 3,9 milliarder dollar, er Axie Infinity blant de 50 beste kryptoene.

Forrige uke ble Axie hacket for 625 millioner dollar. Og ingen la merke til det.

Bye Bye $625 millioner

I går ble det avslørt at 625 millioner dollar ble tatt fra Ronin, som er blokkjeden som ligger til grunn for Axie. Mens de stjålne midlene ble avslørt i en uttalelse på substack, skjedde hacket faktisk seks dager tidligere. «Det har vært et sikkerhetsbrudd», starter uttalelsen. Ja, det har det absolutt.

Ronin-broen, som forenkler innskudd og uttak, ble utnyttet for 173 600 ETH (nær 600 millioner dollar) og 25,5 millioner dollar av stablecoin USDC. Viktigere, Sky Mavis bekreftet at Axie NFT-tokenene (brukt til å gå inn i Axie Infinity-spillet), så vel som spillets valutaer AXS og ALP, var trygge. Men det er et svimlende tilfelle av uaktsomhet med hensyn til forvaring av investormidler.

Vi tok en prat med Ahmad Duais, administrerende direktør for Battle Drones , som er et spill for å tjene penger på Solana-blokkjeden, for å få noen tanker fra bransjen. Han sa "broer er fortsatt et utviklingsområde. GameFi-modellen er en slik revolusjon at vi i nær fremtid alle vil se tilbake på dette som en læringskurve som ligner på hackene som har skjedd i starten av enhver innovasjon."

Hvordan?

Sky Mavis, som driver både Axie Infinity og Ronin, uttalte at "angriperen brukte hackede private nøkler for å forfalske uttak". Angrepet ble først oppdaget i går da en bruker ikke klarte å ta ut 5000 ETH (17 millioner dollar) fra broen. Hackeren hadde tidligere gjennomført to falske uttak.

Med andre ord, en feil i Sky Mavis' kode tillot hackeren å få kontroll over Sky Mavis' validatorer, som sammen med en tredjepartsvalidator ga hackeren frihet til å tømme kassen til en verdi av over 600 millioner dollar. Ikke bare var Sky Mavis slepphendt med koden, det tok dem nesten en uke å legge merke til at de hadde et hull på $600 millioner på balansen.

Midler

Det er tidenes nest største kryptohack, like bak hacket til Poly Network i fjor sommer, selv om disse midlene ble returnert av hackeren. I dette tilfellet bekreftet Ronin at de "jobber med politimyndigheter, rettsmedisinske kryptografer og våre investorer for å sikre at alle midler blir gjenvunnet eller refundert". Om de lykkes eller ikke er en helt annen historie; Akkurat nå har alle spillere som har satt inn penger på Ronin tapt alt.

Ethscan viser plasseringen av midlene

Plasseringen av midlene kan sees for øyeblikket – med alle $600 millioner av ETH plassert komfortabelt i lommeboken ovenfor på Ethereum blockchain.

Blokkjeden gjør det også mulig å legge inn meldinger som en del av transaksjoner. Når du graver gjennom hackerens lommebok, kan du se at flere investorer som mistet pengene sine desperat har forsøkt å appellere til enhver menneskelig side som kan eksistere i hackerens sinn.

Et offer roper ut til hackeren på ethscan

Det er også en sterk påminnelse om at til tross for alle fremskritt DeFi har gjort, er det fortsatt en begynnende bransje med risiko. Reisen kan til tider være humpete, som for enhver ny bransje. Denne uken så vi over 600 millioner eksempler på slike humper.