Pahamaineinen pohjoiskorealainen hakkeriryhmä varasti noin 625 miljoonan dollarin arvosta ETH:ta ja USDC:tä 23. maaliskuuta 2022, mikä saattoi Axie Infinity -ekosysteemin kaaokseen. Vaikka emoyhtiö Sky Mavis sulki tietoturva-aukot, pelaajat odottavat edelleen, saadaanko heidät ehjänä toimimaan, ja hakkerointiin liittyviä kiehtovia yksityiskohtia paljastuu jatkuvasti.
Katsotaanpa, miten Axie Infinity toimii, miten sen mekaniikka johti kohtalokkaaseen virheeseen ja miten organisaatio reagoi 625 miljoonan dollarin menetykseen.
Pohjois-Korean hakkerit varastivat noin 625 miljoonan dollarin arvosta ETH:ta ja USDC:tä Axie Infinity -ekosysteemistä – tässä on mitä tapahtui kulissien takana ja mitä pelaajat voivat odottaa seuraavaksi.
Mikä on Axie Infinity?
Sky Mavisin Axie Infinity on suosittu lohkoketjuteknologiaan perustuva pelata ansaita-peliJokainen pelaaja aloittaa hankkimalla vähintään kolme "Axies"-hahmoa (NFT), joilla on erilaiset ominaisuudet ja vahvuudet. Sitten pelaajat voivat käyttää Axies-hahmojaan taistellakseen muita vastaan Pokémon-tyylisissä kilpailuissa ansaitakseen "sileitä rakkausjuomia" eli SLP:itä, joita he voivat käyttää Axies-hahmojen jalostukseen (ja myyntiin).
Sky Mavis lanseerasi viime vuonna Ethereumin sivuketju tunnetaan nimellä Ronin Network, jonka tarkoituksena on parantaa transaktionopeutta ja poistaa kaasumaksuja. Verkko käyttää proof-of-authority-konsensusmekanismia, jossa kourallinen "luotettavia tahoja" validoi yksittäisiä transaktioita ja yhdistää ne takaisin Ethereumin lohkoketjuun suurina lohkoina.
Tänä vuonna yritys lanseerasi myös RON-hallintotokenin, jonka avulla käyttäjät voivat maksaa Ronin-verkon tapahtumista ja hyödyntää hajautetun rahoituksen (DeFi) ominaisuuksia, kuten hallintoa ja mahdollista panostamista validoijien kautta palkkioiden ansaitsemiseksi. Tammikuussa lanseerauksensa jälkeen tokenin hinta oli noin 3.75 dollaria.
Kuinka hakkerit varastivat 625 miljoonaa dollaria
Useimmat Axie Infinityn pelaajat käyttävät Ronin-siltaa muuntaakseen SLP:tä, AXS:ää ja RON:ia Ethereumiksi tai fiat-valuutaksi. Voit ajatella siltaa kasinona, jossa talletat käteistä, pelaat pelimerkeillä ja muutat pelimerkit takaisin rahaksi päivän päätteeksi. Tässä tapauksessa älysopimukset käsittelevät muunnoksia ETH:n (käteinen) ja "kääreisen" ETH:n (pelimerkit) välillä.
Ronin-verkon validaattorit vahvistavat nämä tapahtumat ennen niiden lisäämistä Ethereumin lohkoketjuun. Valitettavasti verkolla oli vain yhdeksän validaattoria, mikä teki siitä alttiin "51 %:n hyökkäykselle", jossa vain viiden validoijan välinen sopimus voisi väärentää tapahtumia. Ja mikä pahinta, auktoriteetin todistamiseen perustuva lähestymistapa teki hyökkäyksestä entistä helpomman.
Pohjoiskorealainen hakkeriryhmä nimeltä Lazarus vaaransi neljä yhdeksästä validoijasta 23. maaliskuuta 2022. Ryhmä käytti äänivaltaansa väärentääkseen tapahtumia ja varasti 173 600 ETH:ta ja 25.5 miljoonaa USDC:tä, joiden arvo oli yli 625 miljoonaa dollaria. Ongelma pysyi huomaamattomana 26. maaliskuuta 2022 asti, jolloin Sky Mavin lopetti nostot.
Voit ajatella varkautta kasinon menettävän 625 miljoonan dollarin arvosta käteistä pelimerkkien ollessa vielä liikkeessä. Mutta pelimerkeillä ei tietenkään välttämättä ole enää 1:1-arvoaan, jos niitä ei ole tuettu käteisellä. Joten tilanteen korjaamiseksi yritys yrittää löytää 625 miljoonaa dollaria käteistä varojen palauttamiseksi. Muussa tapauksessa sen on devalvoitettava tokenien arvo.
Axie Infinityn vastaus
Sky Mavis lisäsi hiljattain verkossaan olevien validoijien määrän yhteentoista ja vaatii nyt vähintään kymmenen validoijan yhteisymmärryksen tapahtumien käsittelyyn. Lisäksi yhtiö asentaa suojausjärjestelmiä nostojen seuraamiseksi ja mahdollisten ongelmien tunnistamiseksi paljon nopeammin. Lopuksi se vakuuttaa osan treasury-tiliään luodakseen turvaverkon.
Näistä toimista ei tietenkään saada takaisin jo menetettyjä varoja. Yhtiö toivoo keräävänsä pääomaa vajeen kattamiseksi. Vaikka 625 miljoonaa dollaria on korkea luku, yhtiö on jo kerännyt 152 miljoonaa dollaria B-sarjan rahoitusta ja sen arvostus ennen hakkerointia oli noin 3 miljardia dollaria, mikä tarkoittaa, että sillä saattaa olla jonkin verran liikkumavaraa.
Hyvä uutinen on, että kryptopörssit voisivat saada takaisin osan näistä varoista. Hakkerit yrittivät esimerkiksi siirtää varastetut varansa 86:een Binance tilit, jotka pörssi takavarikoi välittömästi, ja takaisin saatiin noin 6 miljoonaa dollaria varoja. Hakkerit todennäköisesti kuitenkin ohjaavat suurimman osan rahoista anonyymeihin kryptovaluuttoihin, kuten Tornado Cashiin.
Oppitunteja kryptoharrastajille
Axie Infinityn Ronin-tietomurto oli vain viimeisin esimerkki pitkään jatkuneesta tietoturvaloukkausten trendistä. Esimerkiksi elokuussa 2021 Polygon Network menetti 611 miljoonaa dollaria, vaikka hakkeri palautti suurimman osan varoista. Toinen kuuluisa esimerkki oli madonreiän ryöstö, jossa hakkerit kohdistivat hyökkäyksensä siltaan varastaakseen 326 miljoonaa dollaria, mutta sidosryhmät lopulta saivat kaikki rahat hengissä.
Näiden ja muiden ryöstöjen suurin oppi on se, että kryptoprojektit perustuvat älysopimuksiin ja uusiin ideoihin. Valitettavasti älykkäät sopimukset voi sisältää bugeja, jotka muuttuvat kalliiksi haavoittuvuuksiksi kuten mikä tahansa ohjelmisto. Samaan aikaan hakkerit etsivät jatkuvasti tapoja hyödyntää uusia ideoita konsensusmekanismeihin liittyen.
Voit välttää näitä ongelmia useilla tavoilla:
- Hajauta kryptovaluuttasijoituksiasi. Joten jos yksittäinen valuutta laskee, et menetä kaikkea.
- Nosta P2E-pelien voittosi säännöllisesti vakaisiin kryptovaluuttoihin, kuten Ethereumiin.
- Lähesty varoen uusia ideoita konsensusmekanismeista ja älysopimuksista.
Näiden hyökkäysten valoisa puoli on se, että saatat pystyä kirjaamaan tappiosi verotuksessasi – kunhan ne eivät johdu varkaudesta tai fyysisestä menetyksestä. Toisin kuin osakkeet ja joukkovelkakirjat, kryptovaluuttoihin ei sovelleta Pesumyyntisääntö joka estää ihmisiä vaatimasta vähennyksiä tappiosta, jos he ostavat takaisin samanlaisen omaisuuserän 30 päivän kuluessa. Joten voit vähentää mahdolliset myyntivoitot ja enintään 3 000 dollaria tavallisia tuloja.
Bottom Line
Axie Infinityn hakkerointi on vakava muistutus siitä, että hajautettu rahoitus ja pelaamalla ansaitsemiseen perustuva ekosysteemi ovat vielä lapsenkengissään. Vaikka ne saattavat houkutella miljardien dollarien arvostuksia, niiden taustalla oleva teknologia on... usein alttiita samanlaisille haavoittuvuuksille kuin mikä tahansa muu ohjelmisto. Joten pelaajien ja sijoittajien tulisi toimia varoen.
Jos sijoitat kryptovaluuttoihin, ZenLedger voi auttaa sinua yhdistämään tapahtumia eri pörssien ja lompakoiden välillä, laskemaan myyntivoittojasi ja -tappioitasi sekä täyttämään automaattisesti suosittuja IRS-lomakkeita. Voit jopa integroida TurboTaxin automatisoidaksesi koko prosessin ja samalla varmistaa, että sinulla on vankka paperihistoria puolustaaksesi itseäsi mahdollisen tarkastuksen varalta.
