Egy hírhedt észak-koreai hackercsoport nagyjából 625 millió dollár értékű ETH-t és USDC-t lopott el 2022. március 23-án, káoszt okozva az Axie Infinity ökoszisztémában. Míg az anyavállalat, a Sky Mavis, bezárta a biztonsági réseket, a játékosok továbbra is arra várnak, hogy helyreállítsák-e őket, és a hackertámadás körül egyre több lenyűgöző részlet kerül napvilágra.
Nézzük meg, hogyan működik az Axie Infinity, hogyan vezetett a mechanikája végzetes hibához, és hogyan reagált a szervezet a 625 millió dolláros veszteségre.
Észak-koreai hackerek nagyjából 625 millió dollár értékű ETH-t és USDC-t loptak el az Axie Infinity ökoszisztémából – íme, mi történt a színfalak mögött, és mire számíthatnak a játékosok a továbbiakban.
Mi az Axie Infinity?
A Sky Mavis Axie Infinity egy népszerű blokklánc alapú keresni akaró játékMinden játékos legalább három, különböző tulajdonságokkal és erősségekkel rendelkező „Axiet” (NFT) megszerzésével kezd. Ezután a játékosok felhasználhatják az Axiet, hogy Pokémon stílusú versenyekben megküzdjenek másokkal, és „sima szerelmi bájitalt” vagy SLP-t szerezzenek, amelyeket Axik tenyésztésére (és eladására) használhatnak.
Tavaly a Sky Mavis elindított egy Ethereum oldallánc A Ronin Hálózat néven ismert hálózat a tranzakciók sebességének javítására és a gázdíjak eltörlésére szolgál. A hálózat egy hitelesítési konszenzus mechanizmust használ, amelyben néhány „megbízható entitás” validálja az egyes tranzakciókat, és nagy blokkokban egyesíti azokat az Ethereum blokkláncba.
Idén a vállalat elindította a RON irányítási tokent is, amely lehetővé teszi a felhasználók számára, hogy fizessenek a Ronin hálózaton keresztüli tranzakciókért, és kihasználják a decentralizált pénzügyi (DeFi) funkciókat, mint például az irányítást és a validátorokon keresztüli potenciális stakinget jutalmak szerzéséhez. Januári bevezetése után a token ára körülbelül 3.75 dollár volt.
Hogyan loptak el hackerek 625 millió dollárt
A legtöbb Axie Infinity játékos a Ronin hidat használja az SLP, AXS és RON Ethereum vagy fiat pénznemre való átváltásához. A hidat elképzelhetjük egy kaszinóként, ahol készpénzt fizetünk be, zsetonokkal játszunk, majd a nap végén a zsetonokat visszaváltjuk készpénzre. Ebben az esetben az intelligens szerződések kezelik az ETH (készpénz) és a „csomagolt” ETH (chipek) közötti átváltásokat.
A Ronin Network validátorai megerősítik ezeket a tranzakciókat, mielőtt hozzáadnák őket az Ethereum blokklánchoz. Sajnos a hálózatnak mindössze kilenc validátora volt, így sebezhetővé vált az „51%-os támadás” szempontjából, ahol mindössze öt validátor közötti megállapodás tranzakciókat tudott volna hamisítani. És ami még rosszabb, a hitelesítési igazoláson alapuló megközelítés még könnyebbé tette a támadást.
2022. március 23-án egy Lazarus nevű észak-koreai hackercsoport a kilenc validátorból négyet feltört. A csoport szavazati jogát kihasználva tranzakciókat hamisított, 173 600 ETH-t és 25.5 millió USDC-t lopva el, több mint 625 millió dollár értékben. A probléma 2022. március 26-ig észrevétlen maradt, amikor a Sky Mavin leállította a kifizetéseket.
A lopást úgy képzelhetjük el, mint egy kaszinó, amely 625 millió dollár értékű készpénzt veszít, miközben a zsetonjai még mindig forgalomban vannak. Természetesen a zsetonok elveszíthetik az 1:1 arányú értéküket, ha nincs mögöttük készpénz. Ezért a helyzet orvoslása érdekében a cég 625 millió dollár készpénzt próbál előteremteni a pénzeszközök helyreállítására. Ellenkező esetben le kell értékelnie a tokeneket.
Az Axie Infinity válasza
A Sky Mavis a közelmúltban tizenegyre növelte a hálózatán lévő validátorok számát, és most legalább tíz validátor konszenzusát igényli a tranzakciók feldolgozásához. Ezenkívül a vállalat megszakítókat telepít a kifizetések monitorozására és a potenciális problémák sokkal korábbi azonosítására. Végül pedig a kincstár egy részét fedezettel látja el egy biztonsági háló létrehozása érdekében.
Természetesen ezek a lépések egyike sem pótolja a már elveszett forrásokat. A vállalat tőkét szeretne bevonni a hiány pótlására. Bár a 625 millió dollár magas szám, a vállalat már 152 millió dollárt gyűjtött B sorozatú finanszírozásból, és a hackelés előtti értékelése körülbelül 3 milliárd dollár volt, ami azt jelenti, hogy lehet némi mozgástere.
A jó hír az, hogy a kriptotőzsdék visszaszerezhettek egy részét ezeknek az alapoknak. Például a hackerek megpróbálták az ellopott pénzüket 86 dollárba átutalni. Binance számlákat, amelyeket a tőzsde azonnal lefoglalt, mintegy 6 millió dollárnyi visszaszerzett pénzt szerezve. A hackerek azonban valószínűleg a legtöbb pénzt anonim kriptovalutákba, például a Tornado Cashbe fogják átirányítani.
Tanulságok kripto rajongóknak
Az Axie Infinity Ronin-támadása csak a legújabb a biztonsági incidensek hosszú sorának egyikében. Például 2021 augusztusában a Polygon Network 611 millió dollárt veszített, bár a hacker a pénz nagy részét visszakapta. Egy másik híres példa a Wormhole-rablás volt, ahol a hackerek egy hidat céloztak meg, hogy 326 millió dollárt lopjanak el, de az érdekelt felek végül mindenkit helyrehoztak.
Ezeknek és más rablásoknak a legnagyobb tanulsága az, hogy a kriptoprojektek okosszerződésekre és újszerű ötletekre támaszkodnak. Sajnos... intelligens szerződések tartalmazhat olyan hibákat, amelyek költséges sebezhetőségekké válhatnak, mint bármely szoftverprogram. Ugyanakkor a hackerek folyamatosan keresik a módját annak, hogy kihasználják a konszenzusos mechanizmusokkal kapcsolatos új ötleteket.
Ezeket a problémákat többféleképpen is elkerülheti:
- Diverzifikáld a kriptovaluta-befektetéseidet. Így ha egyetlen valuta árfolyama esik, nem veszítesz el mindent.
- Rendszeresen váltsd ki a P2E játékokban szerzett bevételeidet stabil kriptovalutákba, például az Ethereumba.
- Óvatosan közelítsd meg a konszenzusos mechanizmusokkal és az intelligens szerződésekkel kapcsolatos új ötleteket.
Ezen támadások pozitívuma, hogy a veszteségeket leírhatod az adódból – feltéve, hogy azok nem lopásból vagy fizikai veszteségből erednek. A részvényekkel és kötvényekkel ellentétben a kriptovaluták nem tartoznak a… Mosás eladási szabály amely megtiltja az embereknek, hogy veszteségük után levonást igényeljenek, ha 30 napon belül visszavásárolnak egy azonos eszközt. Tehát levonhatja a tőkenyereséget és legfeljebb 3,000 dollárnyi szokásos jövedelmet.
A lényeg
Az Axie Infinity hackje komoly emlékeztetőül szolgál arra, hogy a decentralizált pénzügyek és a játékalapú earn ökoszisztéma még gyerekcipőben jár. Bár milliárd dolláros értékeléseket vonzhatnak, a mögöttük álló technológia... gyakran fogékony ugyanolyan típusú sebezhetőségeknek van kitéve, mint bármely más szoftver. Tehát a játékosoknak és a befektetőknek óvatosan kell eljárniuk.
Ha kriptovalutákba fektetsz be, a ZenLedger segíthet a tranzakciók összesítésében a tőzsdék és tárcák között, a tőkenyereségek és -veszteségek kiszámításában, valamint a népszerű IRS-űrlapok automatikus kitöltésében. Akár a TurboTax-szal is integrálhatod, hogy automatizáld a teljes folyamatot, miközben robusztus papíralapú nyilvántartással rendelkezel, hogy megvédhesd magad egy esetleges ellenőrzés esetén.
