Новый рекорд. Хакер взломал блокчейн NFT-игры и обогатился на $625 млн (видео)

Игра Axie Infinity
Игра Axie Infinity

Хакер воспользовался уязвимостью в системе проекта Axie Infinity, чтобы похитить большое количество Ethereum и USDC. Это самое крупное хищение криптовалюты в истории.

Хакер взломал блокчейн Ronin и похитил криптовалюту на общую сумму около $625 млн. Пресс-служба платформы раскрыла подробности в своем блоге.

Атака произошла еще 23 марта, однако о ней стало известно только 29 марта, когда один из пользователей пожаловался на невозможность вывести 5 тыс. Ethereum. По данным Ronin, неизвестный злоумышленник двумя транзакциями вывел 173,6 тыс. ETH, а также 25,5 млн токенов USDC, стоимость которых приравнивается к доллару США.

Хакер использовал уязвимость в системе безопасности и применил взломанные криптографические ключи для вывода средств из сети Sky Mavis Ronin. Она состоит из 9-ти узлов-валидаторов, для совершения транзакции необходимы подписи 5-ти из них. Злоумышленнику удалось получить контроль над 4-мя валидаторами Sky Mavis и сторонним валидатором, управляемым Axie DAO. Схема ключей валидатора настроена по принципу децентрализации, чтобы предотвращать кибератаки, но злоумышленник нашел бэкдор через RPC-узел.

Sky Mavis — это студия, которая разработала популярную NFT-игру Axie Infinity. Позже была организована децентрализованная автономная организация Axie DAO, призванная управлять экосистемой Axie Infinity.

Как объяснили представители Ronin, в ноябре 2021 года Sky Mavis попросила у Axie DAO помощи в проведении бесплатных транзакций из-за большой нагрузки на сеть со стороны пользователей, и организация включила проект в "белый список". Необходимость в поддержке отпала в декабре, но доступ сохранился. Получив доступ к системе Sky Mavis, хакер воспользовался этой лазейкой и получил подпись Axie DAO.

"Мы работаем с Chainalysis, чтобы отслеживать украденные средства. Мы работаем напрямую с различными государственными органами, чтобы преступники предстали перед правосудием. Мы обсуждаем с представителями Axie Infinity / Sky Mavis, как лучше всего двигаться вперед и гарантировать, что пользователи не потеряют свои средства", — сообщили в Ronin.

Руководство блокчейна добавило, что для предотвращения подобных атак увеличили количество валидаторов, необходимых для транзакции, до восьми. Разработчики временно приостановили работу моста для обмена криптовалюты с биржей Binance.

На сегодняшний день это самое крупное в истории хищение криптовалюты из сети блокчейна. В августе неизвестные взломали блокчейн-систему Poly Network и украли криптовалюты примерно на $600 млн. До этого самым крупным киберограблением был взлом биржи Coincheck и вывод $533 млн.

Ранее писали, как игра Axie Infinity помогает зарабатывать криптовалюту. Игроки могут покупать мультяшных NFT-персонажей, участвовать в боях и получать специальные токены mooth Love Potion ("Зелье чистой любви"), чтобы потом обменять их на настоящие деньги.