Eine berüchtigte nordkoreanische Hackergruppe hat am 625. März 23 ETH und USDC im Wert von rund 2022 Millionen US-Dollar gestohlen und damit das Ökosystem von Axie Infinity ins Chaos gestürzt. Während die Muttergesellschaft Sky Mavis die Sicherheitslücken geschlossen hat, warten die Akteure immer noch darauf, ob sie entschädigt werden, und es kommen weiterhin faszinierende Details rund um den Hack ans Licht.
Sehen wir uns an, wie Axie Infinity funktioniert, wie seine Mechanik zu einem fatalen Fehler führte und wie das Unternehmen auf den Verlust von 625 Millionen US-Dollar reagierte.
Nordkoreanische Hacker haben ETH und USDC im Wert von rund 625 Millionen US-Dollar aus dem Axie Infinity-Ökosystem gestohlen – hier erfahren Sie, was hinter den Kulissen passiert ist und was die Spieler als Nächstes erwarten können.
Was ist Axie Infinity?
Axie Infinity von Sky Mavis ist eine beliebte Blockchain-basierte Play-to-Earn-Spiel. Jeder Spieler erwirbt zunächst mindestens drei „Axies“ (NFTs) mit unterschiedlichen Eigenschaften und Stärken. Anschließend können die Spieler ihre Axies verwenden, um in Pokémon-ähnlichen Wettbewerben gegen andere anzutreten und „Smooth Love Potions“ oder SLPs zu verdienen, die sie zum Züchten (und Verkaufen) von Axies verwenden können.
Letztes Jahr startete Sky Mavis eine Ethereum Sidechain bekannt als Ronin Network, um die Transaktionsgeschwindigkeit zu verbessern und Gasgebühren zu eliminieren. Das Netzwerk verwendet einen Proof-of-Authority-Konsensmechanismus mit einer Handvoll „vertrauenswürdiger Entitäten“, die einzelne Transaktionen validieren und sie in großen Blöcken wieder in die Ethereum-Blockchain einbinden.
In diesem Jahr hat das Unternehmen auch den RON-Governance-Token eingeführt, der es Benutzern ermöglicht, für Transaktionen im Ronin-Netzwerk zu bezahlen und dezentrale Finanzfunktionen (DeFi) wie Governance und potenzielles Staking durch Validatoren zu nutzen, um Belohnungen zu erhalten. Nach seiner Einführung im Januar wurde der Token für etwa 3.75 USD gehandelt.
Wie Hacker 625 Millionen Dollar stahlen
Die meisten Axie Infinity-Spieler verwenden die Ronin-Brücke, um SLP, AXS und RON in Ethereum oder Fiat-Währung umzuwandeln. Sie können sich eine Brücke wie ein Casino vorstellen, in dem Sie Bargeld einzahlen, mit Chips spielen und die Chips am Ende des Tages wieder in Bargeld umtauschen. In diesem Fall übernehmen Smart Contracts die Umrechnung zwischen ETH (Bargeld) und „verpacktem“ ETH (Chips).
Die Validierer des Ronin-Netzwerks bestätigen diese Transaktionen, bevor sie sie zur Ethereum-Blockchain hinzufügen. Leider verfügte das Netzwerk nur über neun Validierer, was es anfällig für einen „51%-Angriff“ machte, bei dem eine Vereinbarung zwischen nur fünf von ihnen Transaktionen fälschen könnte. Und schlimmer noch: Der Proof-of-Authority-Ansatz machte den Angriff noch einfacher.
Am 23. März 2022 kompromittierte eine nordkoreanische Hackergruppe namens Lazarus vier der neun Validatoren. Die Gruppe nutzte ihre Stimmrechte, um Transaktionen zu fälschen, und stahl 173,600 ETH und 25.5 Millionen USDC im Wert von mehr als 625 Millionen Dollar. Das Problem blieb bis zum 26. März 2022 unbemerkt, als Sky Mavin die Auszahlungen einstellte.
Man kann sich den Diebstahl so vorstellen, als würde ein Casino Bargeld im Wert von 625 Millionen Dollar verlieren, obwohl seine Chips noch im Umlauf sind. Aber natürlich haben die Chips möglicherweise nicht mehr ihren 1:1-Wert, wenn sie nicht durch Bargeld gedeckt sind. Um Abhilfe zu schaffen, versucht das Unternehmen, 625 Millionen Dollar in bar aufzutreiben, um die Mittel wiederherzustellen. Andernfalls muss es die Token abwerten.
Die Antwort von Axie Infinity
Sky Mavis hat kürzlich die Anzahl der Validierer in seinem Netzwerk auf elf erhöht und verlangt nun für die Verarbeitung von Transaktionen den Konsens von mindestens zehn Personen. Darüber hinaus installiert das Unternehmen Schutzschalter, um Abhebungen zu überwachen und potenzielle Probleme viel früher zu erkennen. Und schließlich besichert es Teile seiner Kasse, um ein Sicherheitsnetz zu schaffen.
Natürlich füllt keine dieser Maßnahmen die bereits verlorenen Mittel wieder auf. Das Unternehmen hofft, Kapital aufzubringen, um dieses Defizit auszugleichen. Obwohl 625 Millionen Dollar eine hohe Summe sind, hat das Unternehmen bereits 152 Millionen Dollar in der zweiten Finanzierungsrunde aufgebracht und hatte vor dem Hack eine Bewertung von rund 3 Milliarden Dollar, was bedeutet, dass es noch etwas Spielraum haben könnte.
Die gute Nachricht ist, dass Krypto-Börsen einen Teil dieser Gelder zurückerhalten konnten. So versuchten die Hacker beispielsweise, ihre gestohlenen Gelder in 86 Binance Konten, die die Börse umgehend beschlagnahmte und dabei etwa 6 Millionen Dollar an wiedergewonnenen Geldern einbrachte. Allerdings werden die Hacker wahrscheinlich das meiste Geld in anonyme Kryptowährungen wie Tornado Cash umleiten.
Lektionen für Krypto-Enthusiasten
Der Ronin-Hack von Axie Infinity war nur der jüngste in einer langen Reihe von Sicherheitsverletzungen. Im August 2021 beispielsweise verlor das Polygon Network 611 Millionen US-Dollar, obwohl der Hacker den Großteil der Gelder zurückgab. Ein weiteres berühmtes Beispiel war der Wormhole-Raub, bei dem Hacker eine Brücke ins Visier nahmen, um 326 Millionen US-Dollar zu stehlen, die Beteiligten jedoch letztendlich alle entschädigten.
Die wichtigste Erkenntnis aus diesen und anderen Raubüberfällen ist, dass Kryptoprojekte auf Smart Contracts und neuartige Ideen angewiesen sind. Leider Smart Contracts können Fehler enthalten, die wie bei jedem Softwareprogramm zu kostspieligen Schwachstellen werden. Gleichzeitig suchen Hacker ständig nach Möglichkeiten, neue Ideen rund um Konsensmechanismen auszunutzen.
Sie können diese Probleme auf verschiedene Weise vermeiden:
- Diversifizieren Sie Ihre Kryptowährungsinvestitionen. Wenn also eine einzelne Währung fällt, verlieren Sie nicht alles.
- Lassen Sie Ihre P2E-Spielgewinne regelmäßig in stabile Kryptowährungen wie Ethereum auszahlen.
- Gehen Sie mit Vorsicht an neue Ideen rund um Konsensmechanismen und Smart Contracts heran.
Der Silberstreif an diesen Angriffen ist, dass Sie Ihre Verluste möglicherweise von der Steuer absetzen können – sofern sie nicht auf Diebstahl oder physischen Verlust zurückzuführen sind. Im Gegensatz zu Aktien und Anleihen unterliegen Kryptowährungen nicht dem Waschverkaufsregel das verhindert, dass Personen einen Verlust geltend machen können, wenn sie innerhalb von 30 Tagen einen identischen Vermögenswert zurückkaufen. Sie können also alle Kapitalgewinne und bis zu 3,000 USD normales Einkommen verrechnen.
Fazit
Der Axie Infinity-Hack ist eine ernüchternde Erinnerung daran, dass das dezentrale Finanz- und Play-to-Earn-Ökosystem noch in den Kinderschuhen steckt. Während sie möglicherweise Milliardenbewertungen anziehen, ist die Technologie dahinter oft anfällig für die gleichen Arten von Schwachstellen wie jede andere Software. Spieler und Investoren sollten also vorsichtig vorgehen.
Wenn Sie in Kryptowährungen investieren, kann ZenLedger Ihnen dabei helfen, Transaktionen über Börsen und Wallets hinweg zu aggregieren, Ihre Kapitalgewinne und -verluste zu berechnen und gängige IRS-Formulare automatisch auszufüllen. Sie können sogar TurboTax integrieren, um den gesamten Prozess zu automatisieren und gleichzeitig eine robuste Papierspur zur Verfügung zu haben, um sich im Falle einer Prüfung zu verteidigen.
