/** code Hien thi Favicon */ /** Ket thuc code Hien thi Favicon */
Hậu quả sau vụ hack Ronin Bridge trị giá $650M của Axie Infinity - HiddenGem Team

Hậu quả sau vụ hack Ronin Bridge trị giá $650M của Axie Infinity

News

Hậu quả sau vụ hack Ronin Bridge trị giá $650M của Axie Infinity

News

Hậu quả sau vụ hack Ronin Bridge trị giá $650M của Axie Infinity

News

Vào cuối tháng 3, Ronin, một sidechain Ethereum được xây dựng cho game play to earn Axie Infinity, đã bị tấn công lấy hơn 173.600 Ether (ETH) và 25,5 triệu USD Coin (USDC) với tổng giá trị hơn 600 triệu USD.

Vụ vi phạm trên cầu Ronin đã được xác nhận bởi Sky Mavis, nhà phát triển đằng sau game play to earn (P2E) nổi tiếng Axie:

Báo cáo chính thức từ công ty lưu ý rằng các tin tặc đã quản lý để truy cập vào các private key của các nút validators, dẫn đến sự xâm phạm của 5 nút validators, đây cũng là ngưỡng bắt buộc để phê duyệt một giao dịch. Chuỗi Ronin hiện bao gồm chín nút xác thực và tin tặc đã quản lý để truy cập vào bốn nút trong số đó cùng với validators của bên thứ ba do tổ chức tự trị phi tập trung (DAO) Axie DAO điều hành.

Nguyên nhân gốc rễ của vụ tấn công có thể được bắt nguồn từ năm ngoái khi Axie DAO cấp quyền truy cập vào Sky Mavis để thay mặt công ty này ký kết các giao dịch nhằm giảm thiểu lượng người dùng. Tuy nhiên, quyền truy cập này không bao giờ bị thu hồi, điều này cuối cùng đã dẫn đến việc tin tặc truy cập vào cửa sau, dẫn đến vụ hack 600 triệu đô.

Vụ tấn công diễn ra vào ngày 23 tháng 3, chỉ được phát hiện gần một tuần sau đó sau khi tin tặc đứng sau vụ tấn công sử dụng số tiền bị đánh cắp để bán khống Axie Infinity (AXS) và Ronin (RON). Các tin tặc hy vọng kiếm được nhiều tiền hơn từ vụ tấn công của họ, nghĩ rằng tin tức về vụ hack tiền điện tử lớn nhất cuối cùng sẽ làm sụp đổ thị trường, tuy nhiên, họ đã bị thanh lý trước khi tin tức bùng nổ:

Cầu Ronin đã bị đóng cửa sau đó, với tất cả các khoản tiền gửi và rút tiền bị tạm dừng cho đến khi cuộc điều tra hoàn tất và có thể mất vài tuần trước khi cây cầu mở cửa sử dụng trở lại. Các nhà phát triển đằng sau game kể từ đó đã tìm kiếm sự trợ giúp từ các sàn giao dịch tiền điện tử khác nhau và nhóm phân tích tiền điện tử Chainalysis để theo dõi chuyển động của các khoản tiền và thu hồi chúng.

Sky Mavis đã loại trừ các lỗ hổng kỹ thuật là nguyên nhân cốt lõi đằng sau vụ tấn công và đổ lỗi nó cho kỹ thuật xã hội. Các nhà phát triển cũng hứa sẽ hoàn trả và thu hồi số tiền bị đánh cắp:

“Đây là một cuộc tấn công kỹ thuật xã hội kết hợp với lỗi của con người từ tháng 12 năm 2021. Công nghệ Sky Mavis rất vững chắc và chúng tôi sẽ sớm bổ sung một số validators mới vào Mạng Ronin để phân cấp mạng hơn nữa,” đồng sáng lập kiêm Giám đốc điều hành Axie Infinity cho biết Aleksander Leonard Larsen.

Rửa tiền

Vụ tấn công trên cầu Ronin khá giống với những gì đã xảy ra trên cầu Wormhole cho Solana, nơi những kẻ tấn công đã quản lý để lấy đi số tiền mã hóa trị giá 320 triệu đô từ nền tảng xuyên cầu. Cuối tháng 2, Jump Crypto – một công ty đầu tư mạo hiểm – đã cứu trợ những người dùng bị tấn công và bổ sung 120.000 ETH.

Sky Mavis đã đưa ra lời hứa tương tự sau khi tấn công, tuyên bố rằng họ sẽ đảm bảo rằng những người dùng bị ảnh hưởng sẽ được hoàn lại tiền ngay cả khi số tiền bị mất không được phục hồi. Vào ngày 6 tháng 4, những người tạo ra game phổ biến đã huy động được 150 triệu đô do sàn giao dịch tiền điện tử Binance và các nhà đầu tư khác dẫn đầu.

Người phát ngôn của Sky Mavis nói với Cointelegraph:

“Trong tổng số tiền bị đánh cắp, khoảng 400 triệu USD thuộc về người dùng. Vòng mới, kết hợp với quỹ bảng cân đối kế toán của Sky Mavis và Axie, sẽ đảm bảo rằng tất cả người dùng đều được hoàn trả. 56.000 ETH bị xâm phạm từ kho bạc Axie DAO sẽ vẫn được phân bổ dưới mức khi Sky Mavis làm việc với cơ quan thực thi pháp luật để thu hồi tiền. Nếu số tiền bị đánh cắp không được thu hồi hoàn toàn trong vòng hai năm, Axie DAO sẽ bỏ phiếu về các bước tiếp theo cho kho bạc. ”

Nhiều người trong thế giới tiền điện tử hy vọng rằng, giống như kẻ tấn công Poly Network, hacker đứng sau vụ tấn công Ronin Bridge cuối cùng sẽ trả lại số tiền bị đánh cắp, vì rất khó để rửa một số tiền cao như vậy. Tuy nhiên, chưa có bất kỳ bằng chứng nào về việc giao tiếp như vậy giữa các nhà phát triển game và tin tặc và công ty từ chối bình luận về tình trạng của những giao tiếp đó.

Elliptic, một công ty phân tích dữ liệu tiền điện tử, đã truy tìm được 540 triệu đô trong số tiền bị đánh cắp và tin rằng các tin tặc đã bắt đầu rửa tiền. Đầu tiên, USDC bị đánh cắp đã được đổi lấy ETH trên các sàn giao dịch phi tập trung (DEX) để tránh bị đóng băng.

Sau khi đổi USDC lấy ETH, các tin tặc bắt đầu rửa ETH thông qua ba sàn giao dịch tập trung.

Ví thuộc về tin tặc của Ronin Bridge cũng đã bắt đầu gửi tiền đến các dịch vụ trộn tiền tệ như Tornado Cash. Điều đáng chú ý là lúc đầu người tấn công Poly Network cũng làm như vậy nhưng cuối cùng quyết định trả lại tiền vì việc rửa một số tiền lớn như vậy ngày càng trở nên khó khăn. Theo một báo cáo của PeckShield, các tin tặc đã rửa sạch số tiền trị giá khoảng 42 triệu đô, tương đương khoảng 7,5% tổng số tiền.

“Lấy cắp dữ liệu là phần dễ nhất. Phần khó nhất là lập kế hoạch trước đủ để đảm bảo rằng việc rút tiền thành công. Hơn nữa, vụ hack càng lớn thì càng khó có khả năng tin tặc kiếm được toàn bộ tiền ”, Jonah Michaels, trưởng bộ phận truyền thông tại Immunefi – một nền tảng truy cập lỗi Web3, cho biết.

Có thể tránh được vụ hack này không?

Mặc dù không phải tất cả các blockchains đều được tạo ra như nhau, nhưng tất cả chúng đều được thiết lập theo nguyên tắc phân quyền, điều này đảm bảo rằng quyền lực và bảo mật không tập trung vào tay của một thực thể duy nhất. Sự cần thiết phải phân quyền được nhấn mạnh bởi vụ hack khổng lồ này trên Ronin. Khi thiết kế các hệ thống cho công chúng với mục tiêu phân phối quyền lực và an ninh, nó phải là: phân tán. Việc sử dụng chín validators, bốn trong số đó được kiểm soát bởi một bên duy nhất, đã được chứng minh là không an toàn.

Trong khi các nhà sản xuất game tuyên bố rằng việc tấn công không diễn ra do bất kỳ thiếu sót kỹ thuật nào, thực tế là tin tặc đã tấn công và lấy được một mục nhập cửa sau vào một trong các nút xác thực của họ vì các nhà phát triển quên thu hồi quyền truy cập vào phần thứ ba- validators của bên chắc chắn làm nổi bật một mức độ tập trung nhất định trong quy trình phê duyệt validators. Điều này cuối cùng đã trở thành lý do dẫn đến việc mất tài sản tiền điện tử trị giá 600 triệu đô.

Đối với một game như Axie Infinity với định giá 4 tỷ đô và cơ sở người dùng lên đến hàng triệu, các nhà phát triển chắc chắn có thể làm tốt hơn với bảo mật xuyên cầu, đặc biệt là khi các nền tảng xuyên cầu đã ở cuối nhận một số loại tiền điện tử lớn nhất những vụ trộm trong vài năm qua.

Jean-Paul Faraq, người đứng đầu cộng đồng và quan hệ đối tác của Unstoppable Games, nói với Cointelegraph:

“Axie và blockchain Ronin của họ rõ ràng có ý định tốt và tầm nhìn lớn. Thật vậy, khi xem xét trạng thái mở rộng quy mô trên Ethereum khi Ronin được xây dựng, bạn có thể cho rằng đó là lựa chọn đúng đắn vào thời điểm đó, nhưng họ cũng có kinh phí để khám phá các biện pháp mạnh mẽ để đảm bảo blockchain của họ được bảo vệ tốt hơn. Họ chắc chắn sẽ phải xem xét kỹ lưỡng cách cải tiến và có khả năng sẽ đưa ra mặt khác với một sản phẩm mạnh mẽ hơn. “

Các nhà phát triển của game đã hứa sẽ tăng số lượng nút xác thực từ chín lên 21 trong quý tới. Họ cũng đảm bảo rằng nếu số tiền bị đánh cắp không được phục hồi trong vòng hai năm, Axie DAO sẽ bỏ phiếu cho các bước tiếp theo cho kho bạc của mình.