Axie Infinity «Ronin bridge взломан на сумму более $600M
Согласно официальному Discord компании Axie Infinity и официальному Twitter сети Ronin Network, а также ее странице Substack, работа моста Ronin и Katana Dex была остановлена после того, как в результате эксплойта было добыто 173 600 Ethereum (ETH) и 25,5 млн. USD Coin (USDC), что в совокупности стоит 612 млн. долларов США по ценам вторника. В заявлении разработчики сообщили, что они «в настоящее время работают с представителями правоохранительных органов, криптографами и нашими инвесторами, чтобы убедиться, что все средства будут восстановлены или возмещены». Все [токены] AXS, RON и SLP на Ronin сейчас в безопасности».
В сети Ronin произошла брешь в системе безопасности.
— Ronin (@Ronin_Network) 29 марта 2022 г.
Как рассказали разработчики Ronin, злоумышленник использовал взломанные приватные ключи, чтобы подделать фальшивые снятия средств, слив средства с моста Ronin всего за две транзакции. Что еще более важно, взлом произошел 23 марта, но обнаружен он был только во вторник после того, как один из пользователей якобы обнаружил проблемы, не сумев вывести с моста Ronin 5 000 в ETH. На момент публикации статьи RON, основной токен управления Ronin, за последний час упал почти на 20% до $1,88.
Цепочка Ronin, созданная Sky Mavis, в настоящее время состоит из девяти узлов-валидаторов, из которых для признания события ввода или вывода средств требуется не менее пяти подписей. Злоумышленникам удалось получить контроль над пятью закрытыми ключами, которые принадлежат четырем валидаторам Ronin компании Sky Mavis и стороннему валидатору, управляемому децентрализованной автономной организацией Axie, или DAO. Получение несанкционированного доступа к последнему было особенно трудоемким.
В ноябре прошлого года Скай Мэвис, разработчик экосистем Axie Infinity и Ronin, обратился за помощью к Axie DAO, чтобы распространить бесплатные транзакции в связи с резким увеличением числа пользователей. Axie DAO внесла Sky Mavis в белый список для подписания различных транзакций от своего имени, и в декабре этот процесс был прекращен. Однако доступ к белому списку не был отозван.
Как только злоумышленники получили доступ к системам Sky Mavis, они получили финальную подпись от валидатора Axie DAO, тем самым завершив порог узла, необходимый для незаконного выкачивания средств из Ronin. На момент публикации большая часть взломанных средств все еще находится в кошельке злоумышленника.