In late March, Ronin, an Ethereum sidechain built for the popular play-to-earn nonfungible token game Axie Infinity, was hacked for over 173,600 Ether (ETH) and 25.5 million USD Coin (USDC) for a combined value of over $600 million.
Sự vi phạm trên cầu Ronin đã được xác nhận bởi Sky Mavis, các nhà phát triển đằng sau trò chơi play-to-earn (P2E) phổ biến:
Đã có một vi phạm an ninh trên Mạng Ronin.
https://t.co/ktAp9w5qpP – Ronin (@Ronin_Network) 29 Tháng Ba, 2022
Báo cáo chính thức từ công ty lưu ý rằng các tin tặc đã quản lý để có được quyền truy cập vào các khóa riêng vào các nút xác thực dẫn đến sự thỏa hiệp của năm nút xác thực, cũng là ngưỡng cần thiết để phê duyệt một giao dịch. Chuỗi Ronin hiện bao gồm chín nút xác thực và hacker quản lý để có được quyền truy cập vào bốn trong số chúng cùng với trình xác thực bên thứ ba được điều hành bởi tổ chức tự trị phi tập trung (DAO) Axie DAO.
Nguyên nhân gốc rễ cho việc khai thác có thể được bắt nguồn từ năm ngoái khi Axie DAO cấp quyền truy cập vào Sky Mavis để đăng xuất các giao dịch thay mặt cho nó để giảm thiểu khối lượng người dùng. Tuy nhiên, quyền truy cập này không bao giờ bị thu hồi, điều này cuối cùng dẫn đến truy cập cửa sau bởi tin tặc dẫn đến việc hack 600 triệu đô la.
The exploit took place on March 23, only to be discovered nearly a week later after hackers behind the attack used the stolen funds to short Axie Infinity (AXS) and Ronin (RON). The hackers hoped to make more money on their exploit, thinking the news about the biggest crypto hack would eventually bring down the market, however, they got liquidated before the news broke:
You cannot make this up
Hacker steals $600MM in ETH from Ronin blockchain the one underlying Axie
Hacker then goes short Ronin & AXS (Axie token) knowing as soon as news breaks that tokens will plummet
But NO ONE notices and they get liquidated on short before news breaks
— Eric Golden (@ericgoldenx) March 29, 2022
The Ronin bridge was closed in the aftermath, with all deposits and withdrawals halted until the investigation was complete and it may take several weeks before the bridge opens for public use again. The developers behind the game have since sought help from various crypto exchanges and crypto analytic group Chainalysis to track the movement of funds and recover them.
Sky Mavis đã loại trừ các lỗ hổng kỹ thuật là nguyên nhân cốt lõi đằng sau việc khai thác và đổ lỗi cho nó về kỹ thuật xã hội. Các nhà phát triển cũng hứa sẽ hoàn trả và thu hồi các quỹ bị đánh cắp:
“ Đây là một cuộc tấn công kỹ thuật xã hội kết hợp với lỗi của con người từ tháng 12 năm 2021. Công nghệ Sky Mavis rất vững chắc và chúng tôi sẽ sớm thêm một số trình xác thực mới vào Mạng Ronin để phân cấp mạng hơn nữa”, đồng sáng lập Axie Infinity cho biết và giám đốc điều hành Aleksander Leonard Larsen.
Rửa và hoàn trả
Việc khai thác trên cầu Ronin khá giống với những gì đã xảy ra trên cây cầu Wormhole cho Solana, nơi những người khai thác đã tìm cách thoát khỏi quỹ tiền điện tử trị giá 320 triệu đô la từ nền tảng xuyên cầu. Sau đó vào tháng 2, Jump Crypto – một công ty đầu tư mạo hiểm – đã bảo lãnh người dùng khai thác và bổ sung 120,000 ETH.
Sky Mavis đã thực hiện một lời hứa tương tự trong hậu quả của việc khai thác, tuyên bố họ sẽ đảm bảo rằng người dùng bị ảnh hưởng được hoàn trả ngay cả khi số tiền bị mất không được phục hồi. Vào ngày 6 tháng 4, những người tạo ra trò chơi nổi tiếng đã huy động 150 triệu USD do sàn giao dịch tiền điện tử Binance và các nhà đầu tư khác dẫn đầu.
Một phát ngôn viên của Sky Mavis nói với Cointelegraph:
“ Trong tổng số tiền bị đánh cắp, khoảng 400 triệu đô la thuộc về người dùng. Vòng mới, kết hợp với quỹ bảng cân đối kế toán Sky Mavis và Axie, sẽ đảm bảo rằng tất cả người dùng được hoàn trả. 56.000 ETH bị xâm phạm từ kho bạc Axie DAO sẽ vẫn còn kém tài sản hóa khi Sky Mavis làm việc với cơ quan thực thi pháp luật để thu hồi tiền. Nếu các khoản tiền bị đánh cắp không được phục hồi hoàn toàn trong vòng hai năm, Axie DAO sẽ bỏ phiếu cho các bước tiếp theo cho kho bạc.
Nhiều người trong thế giới tiền điện tử hy vọng rằng, giống như người khai thác Mạng Poly, hacker đằng sau khai thác Ronin Bridge cuối cùng sẽ trả lại các khoản tiền bị đánh cắp, vì khá khó để rửa số tiền cao như vậy. Tuy nhiên, chưa có bất kỳ bằng chứng nào về giao tiếp như vậy giữa các nhà phát triển trò chơi và tin tặc và công ty từ chối bình luận về tình trạng của các thông tin liên lạc đó.
Elliptic, một công ty phân tích dữ liệu tiền điện tử, đã truy tìm 540 triệu đô la tiền bị đánh cắp và tin rằng tin tặc đã bắt đầu rửa tiền. Đầu tiên, USDC bị đánh cắp đã được hoán đổi cho ETH trên các sàn giao dịch phi tập trung (DEX) để tránh nó bị đóng băng.
Sau khi hoán đổi USDC cho ETH, tin tặc bắt đầu rửa ETH thông qua ba sàn giao dịch tập trung.
Ví thuộc về tin tặc của cầu Ronin cũng đã bắt đầu gửi tiền đến các dịch vụ máy trộn tiền tệ như Tornado Cash. Điều đáng chú ý là nhà khai thác Poly Network đã làm như vậy lúc đầu nhưng cuối cùng đã quyết định trả lại tiền khi rửa một khoản tiền lớn như vậy ngày càng trở nên khó khăn. Theo một báo cáo của PeckShield, các tin tặc đã rửa khoảng 42 triệu đô la vốn trị giá, tương đương khoảng 7,5% tổng số.
“Hacking is the easiest part. The hardest part is planning enough in advance to make sure that cashing out the funds is successful. Moreover, the larger the hack, the more unlikely it is that hackers will be able to make off with all the funds,” said Jonah Michaels, communications lead at Immunefi — a Web3 bug bounty platform.
Could this hack have been avoided?
While not all blockchains are made equal, they are all established on the principle of decentralization, which ensures that power and security are not concentrated in the hands of a single entity. The need for decentralization is highlighted by this enormous hack on Ronin. When designing systems for the public with the goal of distributing power and security, it must be just that: distributed. The use of nine validators, four of which are controlled by a single party, has been proved to be insecure.
While the makers of the game claim that the exploit didn’t take place because of any technical shortcomings, the fact that hackers managed to exploit and get a backdoor entry to one of their validator nodes because the developers forgot to revoke access to the third-party validator certainly highlights a certain level of centralization in the validator approval process. This eventually became the reason for the loss of $600 million worth of crypto assets.
For a game like Axie Infinity with a $4 billion valuation and a user base ranging in millions, the developers could have definitely done better with cross-bridge security, especially when cross-bridge platforms have been at the receiving end of some of the biggest crypto heists in the past couple of years.
Jean-Paul Faraq, head of community and partnerships of Unstoppable Games, told Cointelegraph:
“Axie and their blockchain Ronin clearly have good intentions and a grand vision. Indeed, considering the state of scaling on Ethereum when Ronin was built, you may argue it was the right choice at the time, but they also had the funds to explore robust measures to ensure their blockchain was better protected. They will surely take a long hard look at how to improve and likely come out the other side with a more robust product.”
The developers of the game have promised to increase the number of validator nodes from nine to 21 in the coming quarter. They also assured that if the stolen funds are not recovered within two years, the Axie DAO would vote for the next steps for its treasury.
