Ende März wurde Ronin, eine Ethereum-Sidechain, die für das beliebte Play-to-Earn-Spiel mit nicht fungiblen Token Axie Infinity entwickelt wurde, für über 173.600 Ether (ETH) und 25,5 Millionen USD-Münzen (USDC) mit einem Gesamtwert von über 600 Millionen US-Dollar gehackt.
Der Bruch auf der Ronin-Brücke wurde von Sky Mavis, den Entwicklern hinter dem beliebten Play-to-Earn (P2E)-Spiel, bestätigt:
Es gab eine Sicherheitsverletzung im Ronin-Netzwerk.https://t.co/ktAp9w5qpP
– Ronin (@Ronin_Network) 29. März 2022
Der offizielle Bericht des Unternehmens stellt fest, dass es den Hackern gelungen ist, Zugang zu privaten Schlüsseln für Validator-Knoten zu erhalten, was zur Kompromittierung von fünf Validator-Knoten führte, was auch der Schwellenwert ist, der für die Genehmigung einer Transaktion erforderlich ist. Die Ronin-Kette besteht derzeit aus neun Validator-Knoten, und der Hacker hat es geschafft, Zugriff auf vier davon zu erhalten, zusammen mit einem Drittanbieter-Validator, der von der dezentralisierten autonomen Organisation (DAO) Axie DAO betrieben wird.
Die Hauptursache für den Exploit konnte bis ins letzte Jahr zurückverfolgt werden, als Axie DAO Sky Mavis Zugriff gewährte, um Transaktionen in seinem Namen zu unterzeichnen, um das Benutzervolumen zu verringern. Dieser Zugriff wurde jedoch nie widerrufen, was schließlich zu einem Backdoor-Zugriff durch Hacker führte, was zu Hacks im Wert von 600 Millionen US-Dollar führte.
Der Exploit fand am 23. März statt, nur um fast eine Woche später entdeckt zu werden, nachdem Hacker hinter dem Angriff die gestohlenen Gelder verwendet hatten, um Axie Infinity (AXS) und Ronin (RON) leerzuverkaufen. Die Hacker hofften, mit ihrem Exploit mehr Geld zu verdienen, da sie dachten, die Nachricht über den größten Krypto-Hack würde den Markt schließlich zum Einsturz bringen, aber sie wurden liquidiert, bevor die Nachricht bekannt wurde:
Das kannst du dir nicht ausdenken
Hacker stiehlt ETH im Wert von 600 Millionen Dollar aus der Ronin-Blockchain, der Axie zugrunde liegenden
Der Hacker geht dann bei Ronin & AXS (Axie-Token) leer, da er weiß, dass die Token sinken werden, sobald die Nachrichten bekannt werden
Aber NIEMAND bemerkt es und sie werden kurz vor den Nachrichten liquidiert
– Eric Golden (@ericgoldenx) 29. März 2022
Die Ronin-Brücke wurde in der Folge geschlossen, alle Ein- und Auszahlungen wurden eingestellt, bis die Untersuchung abgeschlossen war, und es kann mehrere Wochen dauern, bis die Brücke wieder für die öffentliche Nutzung geöffnet wird. Die Entwickler hinter dem Spiel haben seitdem Hilfe bei verschiedenen Kryptobörsen und der Kryptoanalysegruppe Chainalysis gesucht, um die Bewegung von Geldern zu verfolgen und sie zurückzugewinnen.
Sky Mavis hat technische Schwachstellen als Hauptursache für den Exploit ausgeschlossen und Social Engineering dafür verantwortlich gemacht. Die Entwickler versprachen auch, die gestohlenen Gelder zu erstatten und zurückzufordern:
„Dies war ein Social-Engineering-Angriff kombiniert mit menschlichem Versagen vom Dezember 2021. Die Sky Mavis-Technologie ist solide und wir werden dem Ronin-Netzwerk in Kürze mehrere neue Validierer hinzufügen, um das Netzwerk weiter zu dezentralisieren.“ genannt Aleksander Leonard Larsen, Mitbegründer und Chief Operating Officer von Axie Infinity.
Geldwäsche und Erstattung
Der Exploit auf der Ronin-Brücke war ziemlich ähnlich dem, was auf der Wormhole-Brücke für Solana passierte, wo es den Exploitern gelang, mit Kryptogeldern im Wert von 320 Millionen Dollar von der Cross-Bridge-Plattform davonzukommen. Später im Februar hat Jump Crypto – eine Risikokapitalfirma – ausgebeutete Benutzer gerettet und 120.000 ETH wieder aufgefüllt.
Sky Mavis hatte nach dem Exploit ein ähnliches Versprechen abgegeben und behauptet, dass sie sicherstellen würden, dass betroffene Benutzer erstattet werden, selbst wenn die verlorenen Gelder nicht zurückgefordert werden. Am 6. April sammelten die Macher des beliebten Spiels 150 Millionen US-Dollar, angeführt von der Krypto-Börse Binance und anderen Investoren.
Ein Sprecher von Sky Mavis sagte gegenüber Cointelegraph:
„Von dem gestohlenen Gesamtbetrag gehören rund 400 Millionen US-Dollar den Nutzern. Die neue Runde wird in Kombination mit den Bilanzmitteln von Sky Mavis und Axie sicherstellen, dass alle Benutzer erstattet werden. Die 56.000 ETH, die aus der Schatzkammer von Axie DAO kompromittiert wurden, werden unterbesichert bleiben, da Sky Mavis mit den Strafverfolgungsbehörden zusammenarbeitet, um die Gelder zurückzuerhalten. Wenn die gestohlenen Gelder nicht innerhalb von zwei Jahren vollständig zurückgefordert werden, wird die Axie DAO über die nächsten Schritte für die Staatskasse abstimmen.“
Viele in der Krypto-Welt hofften, dass der Hacker hinter dem Ronin Bridge-Exploit, wie der Exploiter des Poly-Netzwerks, die gestohlenen Gelder schließlich zurückgeben würde, da es ziemlich schwierig ist, einen so hohen Geldbetrag zu waschen. Es gab jedoch keine Beweise für eine solche Kommunikation zwischen Spieleentwicklern und den Hackern, und das Unternehmen lehnte es ab, sich zum Status dieser Kommunikation zu äußern.
Elliptic, ein Krypto-Datenanalyseunternehmen, hat 540 Millionen Dollar der gestohlenen Gelder aufgespürt und glaubt, dass die Hacker bereits begonnen haben, das Geld zu waschen. Zunächst wurde der gestohlene USDC an dezentralisierten Börsen (DEXs) gegen ETH getauscht, um ein Einfrieren zu vermeiden.
Nachdem sie USDC gegen ETH ausgetauscht hatten, begannen die Hacker, die ETH über drei zentrale Börsen zu waschen.
Auch das Wallet der Hacker der Ronin Bridge ist gestartet Senden Fonds zu Währungsmischdiensten wie Tornado Cash. Es ist erwähnenswert, dass der Exploiter von Poly Network zunächst dasselbe tat, sich aber schließlich entschied, die Gelder zurückzugeben, da das Waschen einer so großen Summe immer schwieriger wurde. Laut einem PeckShield-Bericht haben die Hacker gewaschen Mittel im Wert von etwa 42 Millionen US-Dollar oder etwa 7,5 % der Gesamtsumme.
„Hacking ist der einfachste Teil. Der schwierigste Teil ist es, genug im Voraus zu planen, um sicherzustellen, dass die Auszahlung der Gelder erfolgreich ist. Je größer der Hack, desto unwahrscheinlicher ist es außerdem, dass Hacker in der Lage sind, mit all dem Geld davonzukommen.“ genannt Jonah Michaels, Kommunikationsleiter bei Immunefi – einer Web3-Bug-Bounty-Plattform.
Hätte dieser Hack vermieden werden können?
Obwohl nicht alle Blockchains gleich sind, basieren sie alle auf dem Prinzip der Dezentralisierung, das sicherstellt, dass Macht und Sicherheit nicht in den Händen einer einzigen Einheit konzentriert sind. Die Notwendigkeit der Dezentralisierung wird durch diesen enormen Hack auf Ronin deutlich. Beim Entwurf von Systemen für die Öffentlichkeit mit dem Ziel, Macht und Sicherheit zu verteilen, muss es genau das sein: verteilt. Der Einsatz von neun Validatoren, von denen vier von einer einzigen Partei kontrolliert werden, hat sich als unsicher erwiesen.
Während die Macher des Spiels behaupten, dass der Exploit aufgrund technischer Mängel nicht stattgefunden hat, ist die Tatsache, dass Hacker es geschafft haben, einen ihrer Validator-Knoten auszunutzen und sich einen Hintertürzugang zu verschaffen, weil die Entwickler vergessen haben, den Zugriff auf den dritten zu entziehen, party validator hebt sicherlich ein gewisses Maß an Zentralisierung im Validator-Zulassungsprozess hervor. Dies wurde schließlich der Grund für den Verlust von Krypto-Vermögenswerten im Wert von 600 Millionen Dollar.
Für ein Spiel wie Axie Infinity mit einem Wert von 4 Milliarden US-Dollar und einer Benutzerbasis in Millionenhöhe hätten die Entwickler mit der Cross-Bridge-Sicherheit definitiv besser abschneiden können, insbesondere wenn Cross-Bridge-Plattformen am Empfänger einiger der größten Kryptos waren Überfälle in den letzten Jahren.
Jean-Paul Faraq, Leiter der Community und Partnerschaften von Unstoppable Games, sagte gegenüber Cointelegraph:
„Axie und ihre Blockchain Ronin haben eindeutig gute Absichten und eine große Vision. In Anbetracht des Stands der Skalierung von Ethereum, als Ronin gebaut wurde, mag man argumentieren, dass es damals die richtige Wahl war, aber sie hatten auch die Mittel, um robuste Maßnahmen zu untersuchen, um sicherzustellen, dass ihre Blockchain besser geschützt war. Sie werden sich sicherlich lange überlegen, wie sie sich verbessern können, und wahrscheinlich mit einem robusteren Produkt auf der anderen Seite herauskommen.“
Die Entwickler des Spiels haben versprochen, die Anzahl der Validator-Knoten im kommenden Quartal von neun auf 21 zu erhöhen. Sie versicherten auch, dass, wenn die gestohlenen Gelder nicht innerhalb von zwei Jahren wiederhergestellt werden, die Axie DAO für die nächsten Schritte für ihre Schatzkammer stimmen würde.