Произошла крупнейшая в истории кража криптовалюты
Атака на Ronin Networks на данный момент выглядит самым успешным ограблением децентрализованной финансовой системы. Злоумышленники воспользовались несколькими слабыми местами в архитектуре системы.
Ограбление века
Из блокчейн-системы Ronin Networks, компании-оператора популярной игры Axie Infinity — Sky Mavis, похищено около $620 млн. Большая часть украденных средств — в виде криптовалюты Ethereum. Эксперты уже говорят, что это крупнейшее в истории хищение из децентрализованной криптовалютной системы.
Хакерам удалось украсть 173 600 единиц криптовалюты Ethereum (ETH), что по текущему курсу составляет порядка $600 млн, и еще 25,5 млн криптовалюты USDC, чей курс привязан к курсу доллара.
Атака произошла 23 марта 2022 г. и была направлена непосредственно на «мост» блокчейн-системы Ronin — промежуточного звена между Axie Infinity и другими криптовалютными блокчейнами, такими как Ethereum. Игра предполагает приобретение NFT или игровых валют и предметов за криптовалюты с последующей возможностью обменивать их обратно на криптовалютные активы.
По данным Sky Mavis, злоумышленник использовал скомпрометированные приватные ключи безопасности для взлома узлов сети, через которую осуществляется валидация входящих и исходящих транзакций к блокчейну Ronin.
Хищение раскрылось лишь неделю спустя, когда другой пользователь попытался воспользоваться тем же «мостом» для вывода 5 тыс. единиц Ethereum.
Архитектурные слабости
В Sky Mavis заявили, что NFT-токены, которые пользователи должны приобретать, чтобы получить доступ к Axie, скомпрометированы не были. Внутриигровые криптовалюты также остались нетронутыми. Однако из-за произошедшего инцидента новые игроки на платформу не попадают. Судьба средств других игроков также остается под вопросом: сотрудники Sky Mavis, эксперты по безопасности и правоохранительные органы пытаются вернуть похищенное.
Одной из причин, сделавшими кражу возможной, является сама структура Ronin: в отличие от блокчейнов Bitcoin и Ethereum, она использует узлы валидации, которые определяют входные и выходные данные каждой транзакции и подлинность сигнатур авторизации. Любые транзакции, которые не проходят такую валидацию, блокируются. Такой подход менее энергозатратен, чем тот, что используется в блокчейнах Bitcoin и Ethereum.
Более того, Sky Mavis использовали довольно ограниченное количество узлов валидации, объясняя это желанием снизить резко подскочившую нагрузку на свою сеть. В 2021 г. игра Axie Infinity приобрела бешеную популярность на Филиппинах и в других странах, где игроки сделали ее источником своего заработка.
В публикации Ronin говорится, что в ноябре 2021 г. Sky Mavis запросили помощь c распределением свободных транзакций в связи с огромным наплывом пользователей у Axie DAO — децентрализованной автономной организации, которой управляют пользователи, и у которой есть свой отдельный узел валидации.
«Axie DAO предоставила Sky Mavis полномочия удостоверять различные транзакции от своего имени. Эта схема работала до декабря 2021 г., однако соответствующее разрешение не было отозвано», — говорится в отчете компании.
Злоумышленники в итоге смогли получить цифровую подпись валидационного узла Axie DAO и использовать ее для компрометации пяти из девяти узлов валидации Ronin. Этого оказалось достаточно, чтобы злоумышленники свободно выводили любые объемы средств.
В качестве ответной меры Ronin увеличили минимальное количество узлов, на которых должна быть произведена валидация для осуществления транзакции, с пяти до восьми. «Мост» с другими блокчейнами пока отключен, в архитектуру блокчейна спешно вносятся изменения, которые должны будут повысить его надежность.
Вместе с компанией Chainalysis представители Sky Mavis отслеживают угнанные средства, чтобы попытаться в дальнейшем откатить транзакции.
«Прочность всей системы определяется прочностью ее слабейшего звена, это хоть и избитая, но все-таки истина, — говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. — Ronin попытались “срезать углы” и, как оказалось, сделано это было за счет снижения уровня защищенности блокчейна от атак. Результат — крупнейший к настоящему времени угон средств из децентрализованной финансовой системы. И еще не факт, что потери удастся откатить и возместить».