Hack vole 625 millions de dollars à la blockchain Ronin du jeu NFT Axie Infinity
Environ 625 millions de dollars de crypto-monnaie ont été volés à Ronin, la blockchain sous-jacente au jeu crypto populaire Axie Infini. Ronine et Axie Infini L’opérateur Sky Mavis a révélé la brèche mardi et a gelé les transactions sur le pont Ronin, qui permet de déposer et de retirer des fonds de la blockchain de l’entreprise.
Sky Mavis dit qu’il travaille avec les forces de l’ordre pour récupérer 173 600 Ethereum (d’une valeur actuelle d’environ 600 millions de dollars) et 25,5 millions d’USDC (une crypto-monnaie indexée sur le dollar américain) auprès du coupable, qui l’a retiré du réseau le 23 mars. L’attaque s’est concentrée sur le pont vers la blockchain Ronin de Sky Mavis, un intermédiaire entre Axie Infini et d’autres blockchains de crypto-monnaie comme Ethereum. Les utilisateurs peuvent déposer Ethereum ou USDC auprès de Ronin, puis acheter des jetons non fongibles ou de la monnaie du jeu, ou ils peuvent vendre leurs actifs dans le jeu et retirer l’argent.
Selon Sky Mavis, un attaquant a utilisé des clés de sécurité privées piratées pour compromettre les nœuds du réseau qui valident les transferts vers et depuis la blockchain Ronin. Cela a permis à l’attaquant de retirer discrètement de grandes quantités d’Ethereum et d’USDC. Le transfert a été découvert aujourd’hui – près d’une semaine plus tard – lorsqu’un autre utilisateur a tenté de retirer 5 000 Ethereum via le pont.
Sky Mavis dit que les joueurs de jetons NFT « axie » doivent acheter pour y accéder Axie Infini n’ont pas été compromis, pas plus que les crypto-monnaies du jeu SLP et AXS utilisées pour combattre et élever les axolotls de dessins animés de type pokémon. (Divulgation : Adi a acheté trois axies pour un total de 105 $ le mois dernier afin de rendre compte du jeu ; les axies se vendent actuellement à partir d’environ 25 $ chacun.) Mais le gel des retraits et des dépôts verrouille effectivement de nombreux nouveaux joueurs, et le piratage laisse le sort des autres fonds utilisateurs sur la blockchain Ronin en question. Sky Mavis dit qu’il « travaille avec les responsables de l’application des lois, les cryptographes légistes et nos investisseurs pour s’assurer qu’il n’y a pas de perte de fonds des utilisateurs », qualifiant cela de « priorité absolue ».
Les nœuds de validation sont une caractéristique des chaînes de blocs de preuve de participation comme Ronin, qui consomment moins d’énergie que les systèmes de preuve de travail comme Bitcoin et Ethereum. Les nœuds examinent les nouvelles transactions pour confirmer que leurs entrées et sorties correspondent et que les signatures d’autorisation sont valides, rejetant toutes les transactions non conformes. L’utilisation d’un plus petit nombre de nœuds est plus rapide et plus efficace, mais comme le montre le piratage, cela peut créer des risques de sécurité si la majorité des nœuds sont compromis. C’est une vulnérabilité potentielle pour les blockchains qui sont présentées comme à la fois moins chères et plus respectueuses de l’environnement qu’Ethereum.
Selon Sky Mavis, l’attaque de Ronin a été possible en partie grâce à un raccourci que la société avait pris pour soulager une « immense charge d’utilisateurs » sur son réseau en novembre de l’année dernière – des mois après que le jeu a explosé en popularité aux Philippines et dans d’autres pays où les joueurs en faisaient un travail à plein temps. Le système a été interrompu en décembre, mais les autorisations qui l’autorisaient n’ont jamais été révoquées. En plus de compromettre quatre des propres nœuds de Sky Mavis, l’attaquant les a exploités pour accéder à celui géré par la communauté Axie DAO. Après avoir compromis cinq des neuf nœuds de validation, l’attaquant pourrait effectivement passer outre toute sécurité de transaction et retirer les fonds de son choix.
Sky Mavis dit qu’il augmentera le nombre de nœuds requis à huit pour les transactions, et qu’il rouvrira le pont Ronin « à une date ultérieure » une fois qu’il sera certain que plus aucun fonds ne pourra être drainé. Pour l’instant, la violation de Ronin semble être le plus grand piratage à ce jour des réseaux de «finance décentralisée», faisant suite à un vol de 322 millions de dollars du protocole de pont Wormhole le mois dernier.
« Comme nous l’avons vu, Ronin n’est pas à l’abri de l’exploitation et cette attaque a renforcé l’importance de donner la priorité à la sécurité, de rester vigilant et d’atténuer toutes les menaces », a déclaré la société dans son annonce. « Nous savons que la confiance doit être gagnée et nous utilisons toutes les ressources à notre disposition pour déployer les mesures et processus de sécurité les plus sophistiqués afin de prévenir de futures attaques. »