Un groupe de hackers nord-coréens notoire a volé environ 625 millions de dollars d'ETH et d'USDC le 23 mars 2022, plongeant l'écosystème d'Axie Infinity dans le chaos. Alors que la société mère, Sky Mavis, a comblé les failles de sécurité, les joueurs attendent toujours de voir s'ils seront indemnisés et des détails fascinants continuent d'émerger autour du piratage.
Voyons comment fonctionne Axie Infinity, comment ses mécanismes ont conduit à une faille fatale et comment l’organisation a réagi à la perte de 625 millions de dollars.
Des pirates informatiques nord-coréens ont volé environ 625 millions de dollars d'ETH et d'USDC à l'écosystème Axie Infinity. Voici ce qui s'est passé dans les coulisses et ce à quoi les joueurs peuvent s'attendre ensuite.
Qu'est-ce qu'Axie Infinity ?
Axie Infinity de Sky Mavis est une blockchain populaire jeu pour gagner. Chaque joueur commence par acquérir au moins trois « Axies » (NFT) avec des traits et des forces différents. Ensuite, les joueurs peuvent utiliser leurs Axies pour combattre d'autres joueurs dans des compétitions de style Pokémon pour gagner des « potions d'amour douces », ou SLP, qu'ils peuvent utiliser pour élever (et vendre) des Axies.
L'année dernière, Sky Mavis a lancé un Sidechain Ethereum connu sous le nom de Ronin Network pour améliorer la vitesse des transactions et éliminer les frais de gaz. Le réseau utilise un mécanisme de consensus de preuve d'autorité avec une poignée d'« entités de confiance » validant les transactions individuelles et les fusionnant dans la blockchain Ethereum en gros blocs.
Cette année, la société a également lancé le jeton de gouvernance RON, qui permet aux utilisateurs de payer des transactions sur le réseau Ronin et de tirer parti des fonctionnalités de la finance décentralisée (DeFi), comme la gouvernance et le jalonnement potentiel via des validateurs pour gagner des récompenses. Après son lancement en janvier, le jeton s'échangeait à environ 3.75 $.
Comment les pirates ont volé 625 millions de dollars
La plupart des joueurs d'Axie Infinity utilisent le pont Ronin pour convertir SLP, AXS et RON en Ethereum ou en monnaie fiduciaire. Vous pouvez considérer un pont comme un casino dans lequel vous déposez de l'argent, jouez avec des jetons, puis reconvertissez les jetons en espèces à la fin de la journée. Dans ce cas, les contrats intelligents gèrent les conversions entre ETH (espèces) et ETH « emballé » (jetons).
Les validateurs du réseau Ronin confirment ces transactions avant de les ajouter à la blockchain Ethereum. Malheureusement, le réseau ne comptait que neuf validateurs, ce qui le rendait vulnérable à une « attaque à 51 % » où un accord entre seulement cinq d’entre eux pouvait falsifier des transactions. Pire encore, l’approche de preuve d’autorité a rendu l’attaque encore plus facile.
Le 23 mars 2022, un groupe de hackers nord-coréens nommé Lazarus a compromis quatre des neuf validateurs. Le groupe a utilisé leur pouvoir de vote pour falsifier des transactions, volant 173,600 25.5 ETH et 625 millions d'USDC d'une valeur de plus de 26 millions de dollars. Le problème est passé inaperçu jusqu'au 2022 mars XNUMX, date à laquelle Sky Mavin a mis fin aux retraits.
On peut considérer ce vol comme un casino qui perdrait 625 millions de dollars en espèces alors que ses jetons sont toujours en circulation. Mais, bien sûr, les jetons risquent de ne plus avoir leur valeur 1:1 s'ils ne sont plus garantis par des liquidités. Pour remédier à la situation, l'entreprise essaie donc de réunir 625 millions de dollars en espèces pour rétablir ses fonds. Sinon, elle devra dévaluer les jetons.
Réponse d'Axie Infinity
Sky Mavis a récemment augmenté le nombre de validateurs sur son réseau à onze et nécessite désormais un consensus entre au moins dix d'entre eux pour traiter les transactions. En outre, la société installe des disjoncteurs pour surveiller les retraits et identifier les problèmes potentiels beaucoup plus tôt. Et enfin, elle met en gage une partie de sa trésorerie pour créer un filet de sécurité.
Bien entendu, aucune de ces actions ne permet de reconstituer les fonds déjà perdus. L'entreprise espère lever des capitaux pour combler ce manque. Bien que 625 millions de dollars soit un chiffre élevé, l'entreprise a déjà levé 152 millions de dollars en financement de série B et avait une valorisation pré-piratage d'environ 3 milliards de dollars, ce qui signifie qu'elle pourrait avoir une certaine marge de manœuvre.
La bonne nouvelle est que les échanges de crypto-monnaies pourraient récupérer une partie de ces fonds. Par exemple, les pirates ont tenté de transférer leurs fonds volés vers 86 Binance Des comptes que la bourse a rapidement saisis, récupérant environ 6 millions de dollars de fonds récupérés. Cependant, les pirates détourneront probablement la majeure partie de l'argent vers des crypto-monnaies anonymes, comme Tornado Cash.
Leçons pour les passionnés de crypto-monnaie
Le piratage de Ronin par Axie Infinity n'est que le dernier d'une longue série de failles de sécurité. Par exemple, en août 2021, le réseau Polygon a perdu 611 millions de dollars, bien que le pirate ait restitué la plupart des fonds. Un autre exemple célèbre est le vol de Wormhole, où des pirates ont ciblé un pont pour voler 326 millions de dollars, mais les parties prenantes ont finalement indemnisé tout le monde.
Le principal enseignement de ces braquages et d’autres est que les projets de cryptographie reposent sur des contrats intelligents et des idées novatrices. Malheureusement, contrats intelligents peut contenir des bugs qui se transforment en vulnérabilités coûteuses comme n'importe quel logiciel. Dans le même temps, les pirates informatiques recherchent constamment des moyens d'exploiter de nouvelles idées autour des mécanismes de consensus.
Vous pouvez éviter ces problèmes de plusieurs manières :
- Diversifiez vos investissements en cryptomonnaies. Ainsi, si une seule devise chute, vous ne perdez pas tout.
- Encaissez régulièrement les gains du jeu P2E dans des crypto-monnaies stables, comme Ethereum.
- Abordez les nouvelles idées autour des mécanismes de consensus et des contrats intelligents avec prudence.
Le bon côté de ces attaques est que vous pourrez peut-être déduire vos pertes de vos impôts, à condition qu'elles ne soient pas dues à un vol ou à une perte physique. Contrairement aux actions et aux obligations, les cryptomonnaies ne sont pas soumises à la Règle de vente de lavage Cela empêche les personnes de déduire une perte si elles rachètent un bien identique dans les 30 jours. Vous pouvez donc compenser les gains en capital et jusqu'à 3,000 XNUMX $ de revenus ordinaires.
Conclusion
Le piratage d'Axie Infinity est un rappel qui donne à réfléchir : la finance décentralisée et l'écosystème du jeu pour gagner n'en sont qu'à leurs balbutiements. Bien qu'ils puissent attirer des valorisations de plusieurs milliards de dollars, la technologie qui les sous-tend est souvent susceptible aux mêmes types de vulnérabilités que n'importe quel autre logiciel. Les joueurs et les investisseurs doivent donc faire preuve de prudence.
Si vous investissez dans des cryptomonnaies, ZenLedger peut vous aider à regrouper les transactions entre les bourses et les portefeuilles, à calculer vos gains et pertes en capital et à remplir automatiquement les formulaires IRS les plus courants. Vous pouvez même intégrer TurboTax pour automatiser l'ensemble du processus tout en disposant d'une trace papier solide pour vous défendre en cas d'audit.
