رونین شبکه بلاکچین متصل به بازی کسب درآمدی محبوب Axie Infinity، هفته گذشته مورد سوء استفاده قرار گرفت که منجر به از دست دادن بیش از 600 میلیون دلار ارز دیجیتال شد.
در یک پست وبلاگ، توسعهدهندگان گفتند که این سوء استفاده—که در 23 مارس انجام شد اما اوایل روز سهشنبه کشف شد—منجر به از دست دادن 173600 ETH (به ارزش تقریباً 590 میلیون دلار با قیمتهای فعلی) و 25.5 میلیون دلار استیبل کوین USDC شد. پنج تا از نه اعتباردهنده در شبکه رونین در جریان این حادثه مورد حمله و کنترل قرار گرفتند. اعتبارسنجی اهداف مختلفی از جمله ایجاد بلوکهای تراکنش و به روز رسانی اوراکلهای داده را انجام می دهد.
طبق توضیحات این تیم:
پنج کلید خصوصی اعتباردهنده هک شد؛ 4 اعتبار سنجی Sky Mavis و 1 Axie DAO. طرح کلید اعتبارسنجی به گونهای تنظیم شده است که حملات مانند این را محدود کند، اما مهاجم از طریق RPC گرهای دیگری برای دریافت امضای اعتبار سنجی Axie DAO پیدا کرد. این موضوع به نوامبر 2021 بازمی گردد، زمانی که اعتبار سنجی Axie DAO برای توزیع تراکنشهای رایگان در لیست مجاز قرار گرفت. این کار در دسامبر 2021 متوقف شد، اما IP اعتبار سنجی DAO Axie هنوز روی آن بود.
در این پست توضیح داده شده است: «هنگامی که مهاجم به سیستمهای Sky Mavis دسترسی پیدا کرد، توانست با استفاده از RPC بدون گس، امضا را از اعتبارسنجی Axie DAO دریافت کند. هنگامی که این گرهها کنترل شدند، مهاجم توانایی تخلیه وجوه از پل رونین را به دست آورد. پلها مکانیزمهای نرمافزاری برای جابجایی وجوه بین بلاکچینها هستند.
Ronin توسط Sky Mavis، توسعهدهنده Axie Infinity ساخته شده است. در این پست وبلاگ آمده است که Sky Mavis نقض امنیتی را در 29 مارس، پس از گزارشی مبنی بر اینکه یک کاربر قادر به برداشت 5k ETH از پل نیست، کشف کرد.
طبق این پست، اکثر وجوه در این آدرس اتریوم نگهداری میشوند. Etherscan این آدرس را به عنوان «گزارش شده است که در هک کردن پل رونین» نقش داشته است معرفی کرد.
این تیم گفت:
ما مستقیماً با سازمانهای مختلف دولتی کار میکنیم تا اطمینان حاصل کنیم که مجرمان به دست عدالت سپرده میشوند. ما در حال گفتگو با سهامداران Axie Infinity / Sky Mavis در مورد چگونگی بهترین حرکت رو به جلو و اطمینان برای از بین نرفتن سرمایه کاربران هستیم.
پیشنهاد مطالعه: امنیت و حریم خصوصی در بلاکچین
