پل رونین Axie Infinity با بیش از 600 میلیون دلار هک شد
طبق گزارش رسمی Discord Axie Infinity و موضوع رسمی توییتر شبکه Ronin، به همراه صفحه Substack آن، پل رونین و کاتانا دکس متوقف شد پس از تحمل اکسپلویت برای 173600 اتریوم (ETH) و 25.5 میلیون دلار کوین (USDC) که مجموعاً 612 میلیون دلار به قیمت روز سهشنبه ارزش دارند. در بیانیه ای، توسعه دهندگان آن گفتند که “در حال حاضر با مقامات مجری قانون، رمزنگاران پزشکی قانونی و سرمایه گذاران ما کار می کنند تا مطمئن شوند که تمام وجوه بازیابی یا بازپرداخت شده است. همه AXS، RON و SLP [tokens] در رونین در حال حاضر امن هستند.”
یک نقض امنیتی در شبکه رونین رخ داده است.https://t.co/ktAp9w5qpP
— رونین (@Ronin_Network) 29 مارس 2022
همانطور که توسعه دهندگان Ronin گفته اند، مهاجم از کلیدهای خصوصی هک شده برای جعل برداشت های جعلی استفاده کرده است و تنها در دو تراکنش وجوه را از پل رونین تخلیه می کند. مهمتر از آن، این هک در 23 مارس رخ داد، اما تنها روز سهشنبه پس از اینکه کاربری مشکلاتی را کشف کرد، پس از ناکامی در برداشت 5000 ETH از پل رونین، کشف شد. در زمان انتشار، RON، نشانه اصلی حکومت رونین، در یک ساعت گذشته نزدیک به 20 درصد کاهش یافته و به 1.88 دلار رسیده است.
زنجیره Ronin Sky Mavis در حال حاضر از 9 گره اعتبارسنجی تشکیل شده است که حداقل پنج امضا برای شناسایی رویداد سپرده یا برداشت لازم است. مهاجم موفق به کنترل پنج کلید خصوصی شد که شامل چهار اعتبار سنجی Ronin Sky Mavis و یک اعتبار سنجی شخص ثالث توسط Axie Decentralized Autonomous Organisation یا DAO می شود. دستیابی به دسترسی غیرمجاز به دومی به ویژه زمان بر بود.
نوامبر گذشته، زمانی که Sky Mavis، توسعهدهنده اکوسیستمهای Axie Infinity و Ronin، از Axie DAO برای توزیع تراکنشهای رایگان به دلیل افزایش تعداد کاربران درخواست کمک کرد. Axie DAO Sky Mavis را در لیست سفید قرار داد تا معاملات مختلفی را از طرف خود امضا کند و این روند در دسامبر متوقف شد. با این حال، دسترسی به لیست سفید لغو نشد.
هنگامی که مهاجم به سیستم های Sky Mavis دسترسی پیدا کرد، امضای نهایی را از اعتبار سنجی Axie DAO به دست آورد و بدین ترتیب آستانه گره مورد نیاز برای سیفون غیرقانونی وجوه از Ronin را تکمیل کرد. در زمان انتشار، بیشتر وجوه هک شده هنوز در داخل صندوقچه مهاجم قرار دارند کیف پول.