Новий рекорд. Хакер зламав блокчейн NFT-ігри та збагатився на $625 млн (відео)

Хакер зламав блокчейн Ronin і викрав криптовалюту на загальну суму близько $625 млн. Пресслужба платформи розкрила подробиці у своєму блозі.

Атака відбулася ще 23 березня, проте про неї стало відомо лише 29 березня, коли один із користувачів поскаржився на неможливість вивести 5 тис. Ethereum. За даними Ronin, невідомий зловмисник двома транзакціями вивів 173,6 тис. ETH, а також 25,5 млн токенів USDC, вартість яких прирівнюється до долара США.

Хакер використовував вразливість у системі безпеки та застосував зламані криптографічні ключі для виведення коштів із мережі Sky Mavis Ronin. Вона складається з 9-ти вузлів-валідаторів, для транзакції необхідні підписи 5-ти з них. Зловмиснику вдалося отримати контроль над чотирма валідаторами Sky Mavis і стороннім валідатором, керованим Axie DAO. Схема ключів валідатора налаштована за принципом децентралізації, щоб запобігати кібератакам, але зловмисник знайшов бекдор через RPC-вузол.

Sky Mavis – це студія, яка розробила популярну NFT-гру Axie Infinity. Пізніше було організовано децентралізовану автономну організацію Axie DAO, покликану керувати екосистемою Axie Infinity.

Як пояснили представники Ronin, у листопаді 2021 року Sky Mavis попросила у Axie DAO допомоги в проведенні безплатних транзакцій через велике навантаження на мережу з боку користувачів, і організація включила проєкт до "білого списку". Необхідність підтримки відпала в грудні, але доступ зберігся. Отримавши доступ до системи Sky Mavis, хакер скористався цією лазівкою та отримав підпис Axie DAO.

Ми працюємо з Chainalysis, щоб відстежувати вкрадені кошти. Ми працюємо безпосередньо з різними державними органами, щоб злочинці постали перед правосуддям. Ми обговорюємо з представниками Axie Infinity/Sky Mavis, як найкраще рухатися вперед і гарантувати, що користувачі не втратить свої кошти", — повідомили в Ronin.

Керівництво блокчейну додало, що для запобігання подібним атакам збільшили кількість валідаторів, необхідних для транзакції, до восьми. Розробники тимчасово призупинили роботу мосту для обміну криптовалюти з біржею Binance.

Наразі це найбільше в історії розкрадання криптовалюти з мережі блокчейну. У серпні невідомі зламали блокчейн-систему Poly Network і вкрали криптовалюти приблизно на $600 млн. До цього найбільшим кіберграбуванням був злом біржі Coincheck і виведення $533 млн.

Раніше писали, як гра Axie Infinity допомагає заробляти криптовалюту. Гравці можуть купувати мультяшних NFT-персонажів, брати участь у боях і отримувати спеціальні токени mooth Love Potion ("Зілля чистого кохання"), щоб потім обміняти їх на справжні гроші.