Come parte dell’attacco, un hacker sconosciuto è riuscito a ottenere il controllo di quattro nodi validatori di Ronin Network.
Ronin Network, una sidechain basata su Ethereum creata dallo sviluppatore di Axie Infinity Sky Mavis per supportare il suo popolare gioco basato su token non fungibili, è stata sfruttata da un hacker sconosciuto (o da un gruppo) e ha perso circa 615 milioni di dollari di criptovalute oggi.
“Il ponte Ronin è stato sfruttato per 173.600 Ethereum e 25,5M USDC. Il ponte Ronin e Katana Dex sono stati fermati”, ha rivelato Ronin Network su Twitter oggi, aggiungendo:
“Stiamo lavorando con le forze dell’ordine, i crittografi forensi e i nostri investitori per assicurarci che tutti i fondi siano recuperati o rimborsati. Tutti gli AXS, RON, e SLP su Ronin sono al sicuro in questo momento. “
C’è stata una violazione della sicurezza sulla rete Ronin.https://t.co/ktAp9w5qpP
– Ronin (@Ronin_Network) March 29, 2022
Secondo l’allarme della comunità della rete, il suo ponte Ronin, un protocollo di interoperabilità blockchain che permette agli utenti di trasferire i loro beni tra la catena Ronin e la mainnet Ethereum, è stato sfruttato per 173.600 Ethereum (attualmente vale poco più di 588 milioni di dollari) e 25,5 milioni di dollari di USDC stablecoins.
“All’inizio di oggi, abbiamo scoperto che il 23 marzo, i nodi validatori Ronin di Sky Mavis e i nodi validatori Axie DAO sono stati compromessi”, ha rivelato Sky Mavis. “L’aggressore ha usato chiavi private violate per falsificare i prelievi. Abbiamo scoperto l’attacco questa mattina dopo la segnalazione di un utente che non riusciva a ritirare 5k ETH dal ponte. “
“Tutti i tuoi nodi appartengono a noi “
Gli sviluppatori hanno inoltre spiegato che la catena Ronin comprende attualmente nove nodi validatori, cinque dei quali devono fornire le loro firme per qualsiasi deposito o prelievo per procedere. Come parte del loro attacco, l’hacker è riuscito a ottenere il controllo su quattro di questi nodi e ha utilizzato un ulteriore validatore di terze parti gestito da Axie DAO per sostituire il quinto.
“Lo schema della chiave del validatore è impostato per essere decentralizzato in modo da limitare un vettore di attacco, simile a questo, ma l’attaccante ha trovato una backdoor attraverso il nostro nodo RPC senza gas, di cui ha abusato per ottenere la firma del validatore Axie DAO”, hanno spiegato gli sviluppatori.
In particolare, questo è stato reso possibile perché Sky Mavis ha chiesto aiuto all’Axie DAO lo scorso novembre per “distribuire transazioni gratuite a causa di un immenso carico di utenti”. Come parte di questo accordo, l’Axie DAO ha “permesso” a Sky Mavis di firmare transazioni per suo conto.
Tuttavia, mentre l’accordo è stato interrotto nel dicembre 2021, l’accesso allowlist non è stato revocato, secondo l’annuncio.
Moving forward
In seguito all’attacco di oggi, gli sviluppatori della catena Ronin hanno aumentato la soglia dei validatori da cinque a otto e sono attualmente “in contatto con i team di sicurezza delle principali borse e raggiungeranno tutti nei prossimi giorni”. Inoltre, i nodi della sidechain sono in fase di migrazione dalla vecchia infrastruttura.
“Abbiamo temporaneamente messo in pausa il Ronin Bridge per garantire che non rimangano aperti altri vettori di attacco. Binance ha anche disabilitato il suo ponte da/per Ronin per essere prudenti. Il ponte sarà aperto in una data successiva una volta che siamo certi che nessun fondo può essere drenato”, ha dichiarato Sky Mavis. “Stiamo lavorando con Chainalysis per monitorare i fondi rubati. “
Considerando l’attuale valore in dollari dei beni persi, questo potrebbe benissimo diventare il più grande hacking nella storia della finanza decentralizzata (DeFi). Mentre lo scambio di criptovalute Mt. Gox ha notoriamente perso circa 850.000 Bitcoin nel 2014 – che attualmente varrebbe 40,2 miliardi di dollari – quella cifra era molto più piccola all’epoca, poiché il Bitcoin era scambiato ad una frazione del suo prezzo attuale.
Finora, il protocollo di bridging cross-chain Poly Network è stato considerato la più grande vittima di un hacking DeFi dopo che è stato sfruttato per circa 604 milioni di dollari lo scorso agosto. In quel caso, tuttavia, l’hacker ha poi restituito la maggior parte dei fondi rubati.
