Laut Sky Mavis, den Schöpfern des Blockchain-NFT-Spiels Axie Infinity, wurde das Ronin-Netzwerk angegriffen, und ein Hacker hat es geschafft, 173.600 in Ethereum und 25,5 Millionen USD-Münze (USDC) abzuschöpfen. Der Angreifer hat Krypto-Assets im Wert von rund 620 Millionen US-Dollar erhalten, und die Ronin-Brücke und Katana Dex wurden pausiert.
Das größte NFT-Blockchain-Spiel Axie Infinity leidet unter einem 620-Millionen-Dollar-Hack
Das größte Blockchain-Spiel mit nicht fungiblen Token (NFT), Axie Infinityhat erlitt einen Angriff am Dienstag, nachdem die Ronin-Netzwerk-Validatoren kompromittiert wurden. Sky Mavis, das Unternehmen hinter dem Axie Infinity-Projekt, erklärte, dass die Validatoren bereits am 23. März kompromittiert wurden.
Die Mittel wurden in zwei Transaktionen abgezogen (Transaktion 1 und Transaktion 2) und Sky Mavis entdeckten den Angriff, nachdem sich ein Benutzer darüber beschwert hatte, dass sie keine 5.000 Ether von der Ronin-Brücke abheben konnten.
„Der Angreifer hat gehackte private Schlüssel verwendet, um gefälschte Abhebungen zu fälschen“, heißt es in der Post-Mortem-Erklärung von Sky Mavis. Während die Ronin-Brücke und Katana Dex angehalten wurden, sagte Sky Mavis auch: „Wir arbeiten mit Strafverfolgungsbeamten, forensischen Kryptographen und unseren Investoren zusammen, um sicherzustellen, dass alle Gelder zurückgefordert oder erstattet werden. Alle AXS, RON und SLP auf Ronin sind im Moment sicher.“
Das Team erklärte weiter, dass das Projekt neun Validator-Knoten verwendet, um Ronin auszuführen, und um Ein- oder Auszahlungen vorzunehmen, werden fünf von neun benötigt, um eine Transaktion zu verarbeiten.
„Der Angreifer hat es geschafft, die Kontrolle über die vier Ronin-Validatoren von Sky Mavis und einen von Axie DAO betriebenen Validator eines Drittanbieters zu erlangen“, sagte Sky Mavis. „Das Validator-Key-Schema ist so aufgebaut, dass es dezentralisiert ist, so dass es einen ähnlichen Angriffsvektor wie diesen begrenzt, aber der Angreifer hat eine Hintertür durch unseren gasfreien RPC-Knoten gefunden, die er missbraucht hat, um die Signatur für den Axie DAO-Validator zu erhalten .“
Noch schlimmer ist, dass Sky Mavis feststellt, dass der Angreifer aufgrund einer Änderung im November 2021 damit davongekommen ist, und sie haben das Schema „Axie DAO auf der Zulassungsliste“ bereits im nächsten Monat eingestellt.
Der „Zugriff auf die Zulassungsliste wurde jedoch nicht widerrufen“, sagte das Team, und Sky Mavis fügte hinzu, dass „der Angreifer, nachdem er Zugang zu Sky Mavis-Systemen erhalten hatte, in der Lage war, die Signatur vom Axie DAO-Validator mithilfe des gasfreien RPC zu erhalten“. Die Obduktion von Sky Mavis fuhr fort:
Wir haben bestätigt, dass die Signatur in den böswilligen Abhebungen mit den fünf mutmaßlichen Prüfern übereinstimmt.
Der Angriff auf Ronin ist einer der größten Hacks gegen ein Kryptoprotokoll in diesem Jahr, da er den Angriff auf die Wurmlochbrücke übertraf. Dieser spezifische Angriff auf die Wurmlochbrücke führte zu einem Verlust von 320 Millionen Dollar, aber die Gelder wurden durch Jump Crypto ersetzt. Sky Mavis erklärte am Dienstag, dass das Team mit den Strafverfolgungsbehörden zusammenarbeite, um „sicherzustellen, dass die Kriminellen vor Gericht gestellt werden“.
Darüber hinaus ist das Team dabei, mit Stakeholdern zu diskutieren und darüber zu sprechen, wie sichergestellt werden kann, dass die Benutzer entschädigt werden. „Sky Mavis ist auf lange Sicht hier und wird weiter bauen“, so die Obduktion des Teams abschließend.
Was halten Sie davon, dass Axie Infinity 620 Millionen Dollar an jemanden verliert, der einen Validator-Exploit gefunden hat? Teilen Sie uns Ihre Meinung zu diesem Thema im Kommentarbereich unten mit.
Bildnachweis: Shutterstock, Pixabay, WikiCommons
Haftungsausschluss: Dieser Artikel dient nur zu Informationszwecken. Es handelt sich nicht um ein direktes Angebot oder eine Aufforderung zur Abgabe eines Kauf- oder Verkaufsangebots oder um eine Empfehlung oder Billigung von Produkten, Dienstleistungen oder Unternehmen. Bitcoin.com bietet keine Anlage-, Steuer-, Rechts- oder Buchhaltungsberatung. Weder das Unternehmen noch der Autor sind direkt oder indirekt verantwortlich für Schäden oder Verluste, die durch oder im Zusammenhang mit der Nutzung oder dem Vertrauen auf in diesem Artikel erwähnte Inhalte, Waren oder Dienstleistungen verursacht oder angeblich verursacht wurden.