Sky Mavis, компания, разработавшая популярную блокчейн-игру Axie Infinity, объявила, что стала жертвой взлома на 625 миллионов долларов. Воспользовавшись уязвимостями в реализации сайдчейна Ronin, хакер увел около 173 600 ETH (на сумму 594,6 млн долларов) и 25,5 млн долларов. Эксперты ожидают, что это будет один из крупнейших взломов в относительно недолгой истории криптовалюты, однако это не единственный случай.
Axie Infinity настолько популярен, что является торговой площадкой номер один для коллекционирования NFT. Это ставит его впереди известных торговых площадок, таких как OpenSea, где были представлены популярные NFT Bored Ape Yacht Club (BAYC), из которых самый дешевый в настоящее время стоит ~ 130 ETH (356 тысяч долларов).
Сайдчейны (также называемые цепочками L2) — это решения, созданные вместе с цепочками L1, такими как Bitcoin, Ethereum и Algorand. Эти решения помогают избежать перегрузки блокчейна, перенаправляя транзакции, которые происходят в цепочке L1, на более быстрые, обычно специально созданные боковые цепи. Также известные как «мосты», они позволяют пользователям переносить свои средства цепочки L1 (в данном случае Ethereum) в другие экосистемы блокчейна. Криптовалюта, перемещенная в эти цепочки, заблокирована в качестве залога, и эквивалентная стоимость чеканится в любом токене, который цепочка использует для работы. Будучи относительно постоянными целями, чья фиксированная ценность имеет тенденцию только увеличиваться со временем, «мосты» являются особенно привлекательными целями для злоумышленников.
Эксплойт был осуществлен путем первого попадания в сайдчейн Ronin. Сайдчейн Ronin работает так же, как и другие криптовалюты, с доверенными узлами, проверяющими транзакции. Тем не менее они по-прежнему подвержены атакам 51%: если более половины сети будет скомпрометировано, участники могут затем записать в цепочку любые транзакции, которые они хотят, что будет подтверждено большинством (взломанных) валидаторов.
В данном случае у Ronin было всего девять узлов-валидаторов, из которых злоумышленник скомпрометировал пять. Этого было более чем достаточно, чтобы украсть безбожно большие суммы средств. Это основная причина, по которой децентрализация является таким важным фактором для технологии блокчейна: чем больше узлов и чем больше децентрализовано, тем выше сложность проведения подобных атак (по крайней мере, теоретически).
Sky Mavis быстро заблокировала все сетевые транзакции и увеличила требования к проверке с пяти узлов до восьми из девяти полных в качестве временной меры для любых уязвимостей, которые можно использовать аналогичным образом, но которые до сих пор не закрыты. Мост Ronin остается неработоспособным, а другие сети (например, Binance) уже отключили свои собственные мосты к Ronin.
«Мы поддерживаем связь с командами безопасности на крупных биржах и свяжемся со всеми в ближайшие дни», — заявили в компании. «Мы находимся в процессе переноса наших узлов, которые полностью отделены от нашей старой инфраструктуры».
Sky Mavis также объявила, что работает с Chainalysis для отслеживания украденных средств, которые в настоящее время бездействуют в кошельке идентифицированного злоумышленника. К сожалению, так может быть какое-то время. По всей вероятности, и учитывая явное молчание со стороны хакеров, Sky Mavis не повезет так же, как сеть L2 Polygon, которая в августе 2021 года подверглась столь же вопиющему взлому на 611 миллионов долларов. Тогда почти все украденные средства были позже возвращены.