Μια διαβόητη ομάδα χάκερ από τη Βόρεια Κορέα έκλεψε ETH και USDC αξίας περίπου 625 εκατομμυρίων δολαρίων στις 23 Μαρτίου 2022, στέλνοντας το οικοσύστημα Axie Infinity σε χάος. Ενώ η μητρική εταιρεία, Sky Mavis, έκλεισε τα κενά ασφαλείας, οι παίκτες εξακολουθούν να περιμένουν να δουν αν θα διορθωθούν και συναρπαστικές λεπτομέρειες συνεχίζουν να αναδύονται γύρω από το hack.
Ας δούμε πώς λειτουργεί το Axie Infinity, πώς οι μηχανισμοί του οδήγησαν σε ένα μοιραίο ελάττωμα και πώς αντέδρασε ο οργανισμός στην απώλεια 625 εκατομμυρίων δολαρίων.
Βορειοκορεάτες χάκερ έκλεψαν ETH και USDC αξίας περίπου 625 εκατομμυρίων δολαρίων από το οικοσύστημα του Axie Infinity - δείτε τι συνέβη στο παρασκήνιο και τι μπορούν να περιμένουν οι παίκτες στη συνέχεια.
Τι είναι το Axie Infinity;
Το Axie Infinity της Sky Mavis είναι ένα δημοφιλές πρόγραμμα που βασίζεται σε blockchain. παιχνίδι play-to-earnΚάθε παίκτης ξεκινά αποκτώντας τουλάχιστον τρία "Axies" (NFTs) με διαφορετικά χαρακτηριστικά και δυνατά σημεία. Στη συνέχεια, οι παίκτες μπορούν να χρησιμοποιήσουν τα Axies τους για να πολεμήσουν άλλους σε διαγωνισμούς τύπου Pokemon για να κερδίσουν "smooth love potions" ή SLPs, τα οποία μπορούν να χρησιμοποιήσουν για την αναπαραγωγή (και πώληση) Axies.
Πέρυσι, η Sky Mavis λάνσαρε ένα πλευρική αλυσίδα Ethereum γνωστό ως Δίκτυο Ronin για τη βελτίωση των ταχυτήτων συναλλαγών και την εξάλειψη των τελών φυσικού αερίου. Το δίκτυο χρησιμοποιεί έναν μηχανισμό συναίνεσης απόδειξης εξουσίας με μια χούφτα «αξιόπιστων οντοτήτων» που επικυρώνουν μεμονωμένες συναλλαγές και τις συγχωνεύουν ξανά στο blockchain του Ethereum σε μεγάλα μπλοκ.
Φέτος, η εταιρεία λάνσαρε επίσης το διακριτικό διακυβέρνησης RON, επιτρέποντας στους χρήστες να πληρώνουν για συναλλαγές στο Δίκτυο Ronin και να αξιοποιούν λειτουργίες αποκεντρωμένης χρηματοδότησης (DeFi), όπως η διακυβέρνηση και η δυνατότητα staking μέσω επικυρωτών για να κερδίζουν ανταμοιβές. Μετά την κυκλοφορία του τον Ιανουάριο, το διακριτικό διαπραγματεύτηκε περίπου στα 3.75 δολάρια.
Πώς οι χάκερ έκλεψαν 625 εκατομμύρια δολάρια
Οι περισσότεροι παίκτες του Axie Infinity χρησιμοποιούν τη γέφυρα Ronin για να μετατρέψουν SLP, AXS και RON σε Ethereum ή fiat νόμισμα. Μπορείτε να φανταστείτε μια γέφυρα ως καζίνο όπου καταθέτετε μετρητά, παίζετε τυχερά παιχνίδια με μάρκες και στη συνέχεια μετατρέπετε ξανά τις μάρκες σε μετρητά στο τέλος της ημέρας. Σε αυτήν την περίπτωση, τα έξυπνα συμβόλαια χειρίζονται μετατροπές μεταξύ ETH (μετρητών) και «τυλιγμένου» ETH (τσιπς).
Οι επικυρωτές του Δικτύου Ronin επιβεβαιώνουν αυτές τις συναλλαγές πριν τις προσθέσουν στο blockchain του Ethereum. Δυστυχώς, το δίκτυο είχε μόνο εννέα επικυρωτές, γεγονός που το καθιστούσε ευάλωτο σε μια «επίθεση 51%», όπου μια συμφωνία μεταξύ μόνο πέντε από αυτούς θα μπορούσε να πλαστογραφήσει συναλλαγές. Και το χειρότερο, η προσέγγιση απόδειξης εξουσιοδότησης έκανε την επίθεση ακόμη πιο εύκολη.
Στις 23 Μαρτίου 2022, μια βορειοκορεατική ομάδα χάκερ με το όνομα Lazarus παραβίασε τέσσερις από τους εννέα επικυρωτές. Η ομάδα χρησιμοποίησε την ψήφο της για να πλαστογραφήσει συναλλαγές, κλέβοντας 173,600 ETH και 25.5 εκατομμύρια USDC αξίας άνω των 625 εκατομμυρίων δολαρίων. Το πρόβλημα πέρασε απαρατήρητο μέχρι τις 26 Μαρτίου 2022, όταν η Sky Mavin έκλεισε τις αναλήψεις.
Μπορείτε να φανταστείτε την κλοπή ως ένα καζίνο που χάνει μετρητά αξίας 625 εκατομμυρίων δολαρίων, ενώ τα τσιπ του βρίσκονται ακόμα σε κυκλοφορία. Αλλά, φυσικά, τα τσιπ μπορεί να μην έχουν πλέον την 1:1 αξία τους εάν δεν υπάρχουν μετρητά που να τα υποστηρίζουν. Έτσι, για να διορθώσει την κατάσταση, η εταιρεία προσπαθεί να βρει 625 εκατομμύρια δολάρια σε μετρητά για να αποκαταστήσει τα κεφάλαια. Διαφορετικά, θα πρέπει να υποτιμήσει τα tokens.
Η απάντηση της Axie Infinity
Η Sky Mavis αύξησε πρόσφατα τον αριθμό των επικυρωτών στο δίκτυό της σε έντεκα και τώρα απαιτεί συναίνεση μεταξύ τουλάχιστον δέκα για την επεξεργασία συναλλαγών. Επιπλέον, η εταιρεία εγκαθιστά διακόπτες κυκλώματος για την παρακολούθηση των αναλήψεων και τον εντοπισμό πιθανών προβλημάτων πολύ νωρίτερα. Και τέλος, ασφαλίζει μέρη του ταμείου της για να δημιουργήσει ένα δίχτυ ασφαλείας.
Φυσικά, καμία από αυτές τις ενέργειες δεν αναπληρώνει τα ήδη χαμένα κεφάλαια. Η εταιρεία ελπίζει να συγκεντρώσει κεφάλαια για να καλύψει αυτό το έλλειμμα. Ενώ τα 625 εκατομμύρια δολάρια είναι ένα υψηλό ποσό, η εταιρεία έχει ήδη συγκεντρώσει 152 εκατομμύρια δολάρια σε χρηματοδότηση Σειράς Β και είχε μια αποτίμηση πριν από το hacking περίπου 3 δισεκατομμυρίων δολαρίων, πράγμα που σημαίνει ότι θα μπορούσε να έχει κάποιο περιθώριο ελιγμών.
Τα καλά νέα είναι ότι τα ανταλλακτήρια κρυπτονομισμάτων θα μπορούσαν να ανακτήσουν ορισμένα από αυτά τα κεφάλαια. Για παράδειγμα, οι χάκερ προσπάθησαν να μεταφέρουν τα κλεμμένα χρήματά τους σε 86 Binance λογαριασμούς που το χρηματιστήριο κατέσχεσε αμέσως, αποκομίζοντας περίπου 6 εκατομμύρια δολάρια σε ανακτημένα κεφάλαια. Ωστόσο, οι χάκερ πιθανότατα θα διοχετεύσουν τα περισσότερα χρήματα σε ανώνυμα κρυπτονομίσματα, όπως το Tornado Cash.
Μαθήματα για τους λάτρεις των κρυπτονομισμάτων
Το hacking στο Ronin της Axie Infinity ήταν απλώς το τελευταίο σε μια μακρά τάση παραβιάσεων ασφαλείας. Για παράδειγμα, τον Αύγουστο του 2021, το Polygon Network έχασε 611 εκατομμύρια δολάρια, αν και ο χάκερ επέστρεψε το μεγαλύτερο μέρος των χρημάτων. Ένα άλλο διάσημο παράδειγμα ήταν η ληστεία Wormhole, όπου οι χάκερ στόχευσαν μια γέφυρα για να κλέψουν 326 εκατομμύρια δολάρια, αλλά οι εμπλεκόμενοι τελικά τους έσωσαν όλους.
Το μεγαλύτερο συμπέρασμα από αυτές τις ληστείες και άλλες είναι ότι τα κρυπτογραφικά έργα βασίζονται σε έξυπνα συμβόλαια και καινοτόμες ιδέες. Δυστυχώς, έξυπνες συμβάσεις μπορεί να περιέχει σφάλματα που μετατρέπονται σε δαπανηρά τρωτά σημεία όπως οποιοδήποτε πρόγραμμα λογισμικού. Ταυτόχρονα, οι χάκερ αναζητούν συνεχώς τρόπους για να εκμεταλλευτούν νέες ιδέες γύρω από μηχανισμούς συναίνεσης.
Μπορείτε να αποφύγετε αυτά τα προβλήματα με διάφορους τρόπους:
- Διαφοροποιήστε τις επενδύσεις σας σε κρυπτονομίσματα. Έτσι, αν ένα ενιαίο νόμισμα πέσει, δεν θα χάσετε τα πάντα.
- Να κάνετε τακτικά εξαργύρωση των κερδών από τα παιχνίδια P2E σε σταθερά κρυπτονομίσματα, όπως το Ethereum.
- Προσεγγίστε με προσοχή τις καινοτόμες ιδέες γύρω από μηχανισμούς συναίνεσης και έξυπνες συμβάσεις.
Το θετικό αυτών των επιθέσεων είναι ότι ενδέχεται να μπορείτε να διαγράψετε τις ζημίες σας από τους φόρους σας—εφόσον δεν οφείλονται σε κλοπή ή υλική απώλεια. Σε αντίθεση με τις μετοχές και τα ομόλογα, τα κρυπτονομίσματα δεν υπόκεινται στον Κανόνας Πώλησης Πλυσίματος που απαγορεύει σε άτομα να διεκδικήσουν εκπτώσεις για ζημία εάν επαναγοράσουν ένα πανομοιότυπο περιουσιακό στοιχείο εντός 30 ημερών. Έτσι, μπορείτε να συμψηφίσετε τυχόν κεφαλαιακά κέρδη και έως 3,000 δολάρια σε κανονικό εισόδημα.
Η κατώτατη γραμμή
Το hack του Axie Infinity αποτελεί μια σοβαρή υπενθύμιση ότι το αποκεντρωμένο χρηματοοικονομικό σύστημα και το οικοσύστημα play-to-earn παραμένουν σε αρχικό στάδιο. Ενώ μπορεί να προσελκύουν αποτιμήσεις δισεκατομμυρίων δολαρίων, η τεχνολογία πίσω από αυτά είναι... συχνά ευαίσθητο στα ίδια είδη ευπαθειών με οποιοδήποτε άλλο λογισμικό. Επομένως, οι παίκτες και οι επενδυτές θα πρέπει να είναι προσεκτικοί.
Αν επενδύετε σε κρυπτονομίσματα, το ZenLedger μπορεί να σας βοηθήσει να συγκεντρώσετε συναλλαγές σε ανταλλακτήρια και πορτοφόλια, να υπολογίσετε τα κεφαλαιακά σας κέρδη και ζημίες και να συμπληρώσετε αυτόματα δημοφιλείς φόρμες της IRS. Μπορείτε ακόμη και να ενσωματώσετε το TurboTax για να αυτοματοποιήσετε ολόκληρη τη διαδικασία, έχοντας παράλληλα ένα ισχυρό ίχνος εγγράφων για να υπερασπιστείτε τον εαυτό σας σε περίπτωση ελέγχου.
