Axie Infinity hackad på 625 miljoner dollar… och ingen märker det

Axie Infinity hackad på 625 miljoner dollar… och ingen märker det

By Donal Ashbourne - min läsning

En snabb Google-sökning säger mig att historiens största bankrån ägde rum i Bagdad, Irak, där 282 miljoner dollar stals. Man misstänker att det rörde sig om ett internjobb, orkestrerat av flera bankvakter. Det genomsnittliga bankrånet i Amerika är för tillfället tydligen 6 500 dollar.

Det är lätt att tappa perspektivet när man läser om dessa enorma summor pengar i krypto. Men mot ovanstående siffror från den verkliga världen slår det verkligen in hur stor den senaste hackningen inom krypto är.

Axie Infinity är ett blockkedje-baserat handels- och kampspel där spelare kan föda upp och handla med tokenbaserade varelser som kallas Axies. Det är en av de största framgångshistorierna inom kryptospel; med ett börsvärde på 3,9 miljarder dollar ligger den bland de 50 bästa kryptos.

Förra veckan hackades Axie för 625 miljoner dollar. Och ingen märkte det.

Hejdå 625 miljoner dollar

I går avslöjades det att 625 miljoner dollar togs från Ronin, som är blockkedjan bakom Axie. Medan de stulna medlen avslöjades i ett uttalande på substack, inträffade hackningen faktiskt sex dagar tidigare. "Det har skett ett säkerhetsintrång", börjar uttalandet. Ja, det har det säkert.

Ronin bridfge, som underlättar insättning och uttag, utnyttjades för 173 600 ETH (nära 600 miljoner dollar) och 25,5 miljoner dollar av stablecoinet USDC. Viktigt är att Sky Mavis bekräftade att Axie NFT-tokens (används för att komma in i Axie Infinity-spelet), såväl som i spelvalutorna AXS och ALP, var säkra. Men det är ett häpnadsväckande fall av slarv när det gäller förvaring av investerarmedel.

Vi fick tag på Ahmad Duais, VD för Battle Drones, som är ett play-to-earn-spel på Solana.blockkedjan, för att få lite tankar inifrån branschen. Han sa "broar är fortfarande ett utvecklingsområde. GameFi-modellen är en sådan revolution att vi inom en snar framtid alla kommer att se tillbaka på detta som en inlärningskurva som liknar de hackningar som har inträffat i början av någon innovation."

Hur?

Sky Mavis, som driver både Axie Infinity och Ronin, sa att "angriparen använde hackade privata nycklar för att förfalska falska uttag". Attacken upptäcktes först igår när en användare inte kunde ta ut 5 000 ETH ($17 miljoner) från bron. Hackaren hade tidigare genomfört två falska uttag.

Med andra ord, ett fel i Sky Mavis kod gjorde det möjligt för hackaren att få kontroll över Sky Mavis validatorer, vilket tillsammans med en tredjepartsvaliderare gav hackaren frihet att dränera kassan till över 600 miljoner dollar. Sky Mavis utvecklare släppte inte bara bollen på koden, det tog dem nästan en vecka att märka att de hade ett hål på 600 miljoner dollar på sin balansräkning.

Medel

Det är det näst största kryptohacket genom tiderna, precis efter hackningen av Poly Network förra sommaren, även om dessa pengar returnerades av hackaren. I det här fallet bekräftade Ronin att de "arbetar med brottsbekämpande tjänstemän, kriminaltekniska kryptografer och våra investerare för att se till att alla medel återvinns eller återbetalas". Huruvida de lyckas eller inte är dock en helt annan historia; från och med nu har alla spelare som satt in pengar på Ronin förlorat allt.

Ethscan visar placeringen av medlen

Blockkedjan är blockkedjan, men placeringen av fonderna kan ses för tillfället – med alla $600 miljoner ETH som ligger bekvämt inbäddat i ovanstående plånbok på Ethereum-blockkedjan.

Blockkedjan tillåter också att meddelanden matas in som en del av transaktioner. När du gräver igenom hackarens plånbok kan du se att flera investerare som förlorat sina pengar desperat har försökt att vädja till alla mänskliga sidor som kan finnas i hackarens sinne.

Ett offer pratar till hackaren på ethscan

Det är också en skarp påminnelse om att trots alla framsteg som DeFi har gjort är det fortfarande en begynnande bransch med risk. Den kommer till spännande platser, men resan kan ibland vara stenig, som för alla nya branscher. Den här veckan såg vi över 600 miljoner exempel på sådana.