En berygtet nordkoreansk hackergruppe stjal ETH og USDC til en værdi af cirka 625 millioner dollars den 23. marts 2022, hvilket sendte Axie Infinity-økosystemet ud i kaos. Mens moderselskabet, Sky Mavis, lukkede sikkerhedshullerne, venter spillerne stadig på at se, om de bliver repareret, og fascinerende detaljer fortsætter med at dukke op omkring hackingen.
Lad os se på, hvordan Axie Infinity fungerer, hvordan dens mekanik førte til en fatal fejl, og hvordan organisationen reagerede på et tab på 625 millioner dollars.
Nordkoreanske hackere stjal ETH og USDC for cirka 625 millioner dollars fra Axie Infinity-økosystemet – her er hvad der skete bag kulisserne, og hvad spillerne kan forvente nu.
Hvad er Axie Infinity?
Sky Mavis' Axie Infinity er en populær blockchain-baseret teknologi spil for at tjene pengeHver spiller starter med at erhverve mindst tre "Axies" (NFT'er) med forskellige egenskaber og styrker. Derefter kan spillerne bruge deres Axies til at kæmpe mod andre i Pokémon-lignende konkurrencer for at tjene "smooth love potions" eller SLP'er, som de kan bruge til at avle (og sælge) Axies.
Sidste år lancerede Sky Mavis en Ethereum-sidekæde kendt som Ronin-netværket for at forbedre transaktionshastigheder og eliminere benzingebyrer. Netværket bruger en proof-of-authority-konsensusmekanisme med en håndfuld "betroede enheder", der validerer individuelle transaktioner og fletter dem tilbage i Ethereum-blockchainen i store blokke.
I år lancerede virksomheden også RON-governance-tokenet, der gør det muligt for brugere at betale for transaktioner på Ronin-netværket og udnytte decentraliserede finansieringsfunktioner (DeFi), såsom governance og potentiel staking gennem validatorer, for at optjene belønninger. Efter lanceringen i januar blev tokenet handlet til omkring $3.75.
Hvordan hackere stjal 625 millioner dollars
De fleste Axie Infinity-spillere bruger Ronin-broen til at konvertere SLP, AXS og RON til Ethereum eller fiat-valuta. Du kan tænke på en bro som et casino, hvor du indsætter kontanter, spiller med chips og derefter konverterer chips tilbage til kontanter ved dagens slutning. I dette tilfælde håndterer smarte kontrakter konverteringer mellem ETH (kontanter) og "indpakkede" ETH (chips).
Ronin-netværkets validatorer bekræfter disse transaktioner, før de tilføjes til Ethereum-blockchainen. Desværre havde netværket kun ni validatorer, hvilket gjorde det sårbart over for et "51%-angreb", hvor en aftale mellem blot fem af dem kunne forfalske transaktioner. Og værre endnu, proof-of-authority-tilgangen gjorde angrebet endnu nemmere.
Den 23. marts 2022 kompromitterede en nordkoreansk hackergruppe ved navn Lazarus fire af de ni validatorer. Gruppen brugte deres stemmeret til at forfalske transaktioner og stjal 173,600 ETH og 25.5 millioner USDC til en værdi af mere end 625 millioner dollars. Problemet gik ubemærket hen indtil den 26. marts 2022, hvor Sky Mavin lukkede ned for udbetalinger.
Man kan forestille sig tyveriet som et casino, der mister 625 millioner dollars i kontanter, mens deres chips stadig er i omløb. Men chipsene har selvfølgelig muligvis ikke længere deres 1:1-værdi, hvis der ikke er kontanter bag dem. Så for at afhjælpe situationen forsøger virksomheden at skaffe 625 millioner dollars i kontanter for at genoprette midlerne. Ellers bliver de nødt til at devaluere tokens.
Axie Infinitys svar
Sky Mavis har for nylig øget antallet af validatorer på sit netværk til elleve og kræver nu konsensus blandt mindst ti for at behandle transaktioner. Derudover installerer virksomheden afbrydere for at overvåge hævninger og identificere potentielle problemer meget hurtigere. Og endelig stiller den dele af sin egenkapital som sikkerhed for at skabe et sikkerhedsnet.
Ingen af disse handlinger genopfylder naturligvis de allerede tabte midler. Virksomheden håber at kunne rejse kapital for at afhjælpe dette underskud. Selvom 625 millioner dollars er et højt tal, har virksomheden allerede rejst 152 millioner dollars i serie B-finansiering og havde en værdiansættelse før hacking på omkring 3 milliarder dollars, hvilket betyder, at den kan have et vist spillerum.
Den gode nyhed er, at kryptobørser kunne genvinde nogle af disse midler. For eksempel forsøgte hackerne at flytte deres stjålne midler til 86 Binance konti, som børsen straks beslaglagde, hvilket indbragte omkring 6 millioner dollars i inddrevne midler. Hackerne vil dog sandsynligvis omdirigere de fleste penge til anonyme kryptovalutaer, som f.eks. Tornado Cash.
Lektioner for kryptoentusiaster
Axie Infinitys Ronin-hack var blot det seneste i en lang tendens af sikkerhedsbrud. For eksempel tabte Polygon Network 611 millioner dollars i august 2021, selvom hackeren returnerede størstedelen af pengene. Et andet berømt eksempel var Wormhole-kupet, hvor hackere målrettede en bro for at stjæle 326 millioner dollars, men interessenterne fik til sidst alle skader.
Den største konklusion fra disse kup og andre er, at kryptoprojekter er afhængige af smarte kontrakter og nye ideer. Desværre, smarte kontrakter kan indeholde fejl, der udvikler sig til dyre sårbarheder, ligesom ethvert andet softwareprogram. Samtidig leder hackere konstant efter måder at udnytte nye ideer omkring konsensusmekanismer.
Du kan undgå disse problemer på flere måder:
- Diversificer dine kryptovalutainvesteringer. Så mister du ikke alt, hvis en enkelt valuta falder.
- Udbetal regelmæssigt P2E-spilindtægter til stabile kryptovalutaer, som Ethereum.
- Vær forsigtig med nye ideer omkring konsensusmekanismer og smarte kontrakter.
Den positive side af disse angreb er, at du muligvis kan afskrive dine tab på din skat – så længe de ikke skyldes tyveri eller fysisk tab. I modsætning til aktier og obligationer er kryptovalutaer ikke underlagt Vask salgsregel der forhindrer folk i at kræve fradrag for et tab, hvis de tilbagekøber et identisk aktiv inden for 30 dage. Så du kan modregne eventuelle kapitalgevinster og op til 3,000 USD i almindelig indkomst.
The Bottom Line
Axie Infinity-hacket er en tankevækkende påmindelse om, at det decentraliserede finans- og play-to-earn-økosystem stadig er i sin vorden. Selvom de kan tiltrække milliardværdier, er teknologien bag dem ... ofte modtagelige til de samme typer sårbarheder som al anden software. Så spillere og investorer bør træde forsigtigt.
Hvis du investerer i kryptovalutaer, kan ZenLedger hjælpe dig med at aggregere transaktioner på tværs af børser og tegnebøger, beregne dine kapitalgevinster og -tab og automatisk udfylde populære IRS-formularer. Du kan endda integrere med TurboTax for at automatisere hele processen, samtidig med at du har et robust dokumentationsspor på plads for at forsvare dig selv i tilfælde af en revision.
