Криптовалютные проекты продолжают подвергаться хакерским атакам, часть из них успешно завершается. На этот раз пострадала компания Sky Mavis, чья игра Axie Infinity оказалась самой популярной в 2021 году в NFT-пространстве, а оборот токенов превысил $4 млрд.
Для своих проектов Sky Mavis использует собственный блокчейн Ronin, который является сайдчейном Ethereum. Это сделано для ускорения платежей и уменьшения комиссии. Обратной стороной медали оказалась безопасность: за подтверждение транзакций отвечали пять узлов валидаторов из девяти. Хакеру удалось взломать закрытые ключи четырех из них, а также получить доступ к подписи стороннего валидатора Axie DAO.
В результате взлома злоумышленник похитил 173 600 Ethereum и 25,5 млн USDC, что по текущим ценам составляет около $615 млн. Кража произошла еще 23 марта, однако о ней стало известно лишь вчера, когда один из пользователей не смог провести транзакцию на 5 тыс. ETH через мост Ronin.
Для предотвращения дальнейшей утечки средств Sky Mavis приостановила работу моста Ronin, а порог необходимых валидаторов для подписания транзакций был увеличен до восьми. Из-за невозможности дальнейшего арбитража отключению также подверглась децентрализованная площадка Katana. Компания заверяет пользователей, что прилагает все усилия для возвращения украденных средств и взаимодействует с правоохранительными органами для вычисления преступника. Примечателен и тот факт, что после кражи основной объем средств все это время остается без движения.
Не исключено, что за взломом стоит «белый хакер» (white hat). Такой хакер после взлома дожидается нахождения компанией уязвимости, после чего возвращает украденные средства (иногда оставляя себе «чаевые»). Это позволяет избежать уголовного преследования, продемонстрировать слабые места в защите и при этом заявить о себе. Например, в прошлом году неизвестный взломал Poly Network и вывел около $600 млн в различных криптовалютах. Позже он вернул все незаблокированные средства, встраивая в транзакции сообщения для компании.
Как бы ни закончилась эта история, дыра в безопасности – это удар по имиджу. За сутки монета Ronin упала на 20%, а токен AXS – на 8%. Ранее команда Sky Mavis выражала надежду, что ее сайдчейн будут использовать сторонние игровые платформы. Теперь это маловероятно.
Аналитическая группа StormGain