Razvpita severnokorejska hekerska skupina je 23. marca 2022 ukradla približno 625 milijonov dolarjev vredne ETH in USDC, kar je ekosistem Axie Infinity pahnilo v kaos. Medtem ko je matično podjetje Sky Mavis zaprlo varnostne vrzeli, igralci še vedno čakajo, da vidijo, ali bodo popravljene, in o vdoru se še naprej pojavljajo fascinantne podrobnosti.
Poglejmo, kako deluje Axie Infinity, kako je njegova mehanika privedla do usodne napake in kako se je organizacija odzvala na izgubo 625 milijonov dolarjev.
Severnokorejski hekerji so iz ekosistema Axie Infinity ukradli približno 625 milijonov dolarjev ETH in USDC – tukaj je, kaj se je dogajalo v ozadju in kaj lahko igralci pričakujejo.
Kaj je Axie Infinity?
Sky Mavis' Axie Infinity je priljubljena platforma, ki temelji na tehnologiji veriženja blokov. igra za zaslužekVsak igralec začne s pridobitvijo vsaj treh »Axies« (NFT) z različnimi lastnostmi in močmi. Nato lahko igralci uporabijo svoje Axies za spopade z drugimi v tekmovanjih v slogu Pokémonov, da bi zaslužili »gladke ljubezenske napoje« ali SLP-je, ki jih lahko uporabijo za vzrejo (in prodajo) Axies.
Lani je Sky Mavis lansiral Stranska veriga Ethereuma znano kot omrežje Ronin za izboljšanje hitrosti transakcij in odpravo provizij za gorivo. Omrežje uporablja mehanizem soglasja o dokazilu avtoritete s peščico "zaupanja vrednih subjektov", ki potrjujejo posamezne transakcije in jih v velikih blokih združujejo nazaj v verigo blokov Ethereum.
Letos je podjetje lansiralo tudi žeton za upravljanje RON, ki uporabnikom omogoča plačevanje transakcij v omrežju Ronin in izkoriščanje funkcij decentraliziranih financ (DeFi), kot sta upravljanje in potencialno vlaganje prek validatorjev za zaslužek nagrad. Po lansiranju januarja se je žeton trgoval po ceni okoli 3.75 USD.
Kako so hekerji ukradli 625 milijonov dolarjev
Večina igralcev Axie Infinity uporablja most Ronin za pretvorbo SLP, AXS in RON v Ethereum ali fiat valuto. Most si lahko predstavljate kot igralnico, kjer položite gotovino, igrate z žetoni in nato na koncu dneva žetone pretvorite nazaj v gotovino. V tem primeru pametne pogodbe obravnavajo pretvorbe med ETH (gotovino) in »zavitim« ETH (žetoni).
Validatorji omrežja Ronin potrdijo te transakcije, preden jih dodajo v verigo blokov Ethereum. Žal je imelo omrežje le devet validatorjev, zaradi česar je bilo dovzetno za »51-odstotni napad«, kjer bi lahko dogovor med le petimi ponaredili transakcije. Še huje, pristop dokazovanja avtoritete je napad še olajšal.
23. marca 2022 je severnokorejska hekerska skupina Lazarus ogrozila štiri od devetih validatorjev. Skupina je uporabila svojo glasovalno moč za ponarejanje transakcij in ukradla 173,600 ETH in 25.5 milijona USDC v vrednosti več kot 625 milijonov dolarjev. Težava je ostala neopažena do 26. marca 2022, ko je Sky Mavin ustavil dvige.
Krajo si lahko predstavljate kot izgubo igralnice v gotovini v vrednosti 625 milijonov dolarjev, medtem ko so njeni žetoni še vedno v obtoku. Seveda pa žetoni morda nimajo več svoje vrednosti 1:1, če niso zavarovani z gotovino. Zato podjetje poskuša zbrati 625 milijonov dolarjev gotovine za obnovitev sredstev, da bi rešilo situacijo. V nasprotnem primeru bo moralo razvrednotiti žetone.
Odgovor Axie Infinity
Sky Mavis je nedavno povečal število validatorjev v svojem omrežju na enajst in zdaj za obdelavo transakcij zahteva soglasje vsaj desetih. Poleg tega podjetje namešča varovalke za spremljanje dvigov in veliko hitrejše prepoznavanje morebitnih težav. In končno, dele svoje blagajne zavaruje z zavarovanjem, da bi ustvarilo varnostno mrežo.
Seveda noben od teh ukrepov ne bo dopolnil že izgubljenih sredstev. Podjetje upa, da bo zbralo kapital za odpravo tega primanjkljaja. Čeprav je 625 milijonov dolarjev visoka številka, je podjetje že zbralo 152 milijonov dolarjev financiranja serije B in je bilo pred vdorom ocenjeno na približno 3 milijarde dolarjev, kar pomeni, da bi lahko imelo nekaj manevrskega prostora.
Dobra novica je, da bi kripto borze lahko povrnile del teh sredstev. Hekerji so na primer poskušali svoja ukradena sredstva prenesti v 86 Binance račune, ki jih je borza takoj zasegla, s čimer je povrnila približno 6 milijonov dolarjev sredstev. Vendar pa bodo hekerji večino denarja verjetno preusmerili v anonimne kriptovalute, kot je Tornado Cash.
Lekcije za navdušence nad kriptovalutami
Vdor v Ronin podjetja Axie Infinity je bil le zadnji v dolgem trendu varnostnih kršitev. Na primer, avgusta 2021 je omrežje Polygon Network izgubilo 611 milijonov dolarjev, čeprav je heker večino sredstev vrnil. Drug znan primer je bil rop Wormhole, kjer so hekerji ciljali na most, da bi ukradli 326 milijonov dolarjev, vendar so deležniki na koncu vse rešili.
Največji nauk teh in drugih ropov je, da se kripto projekti zanašajo na pametne pogodbe in nove ideje. Žalostno. pametne pogodbe lahko vsebuje hrošče, ki se spremenijo v drage ranljivosti, tako kot kateri koli program. Hkrati hekerji nenehno iščejo načine za izkoriščanje novih idej o mehanizmih soglasja.
Tem težavam se lahko izognete na več načinov:
- Diverzificirajte svoje naložbe v kriptovalute. Če torej ena valuta pade, ne izgubite vsega.
- Redno izplačujte zaslužke iz iger P2E v stabilne kriptovalute, kot je Ethereum.
- K novim idejam o mehanizmih soglasja in pametnih pogodbah pristopajte previdno.
Pozitivna stran teh napadov je, da boste morda lahko svoje izgube odpisali pri davkih – če le niso posledica kraje ali fizične izgube. Za razliko od delnic in obveznic za kriptovalute ne velja ... Pravilo prodaje pralnega stroja ki ljudem prepoveduje uveljavljanje odbitkov za izgubo, če v 30 dneh ponovno kupijo enako sredstvo. Torej lahko pobotate morebitne kapitalske dobičke in do 3,000 USD rednega dohodka.
Bottom Line
Vdor v Axie Infinity je streznjujoč opomin, da so decentralizirani finance in ekosistem igranja za zaslužek še v povojih. Čeprav lahko pritegnejo milijarde dolarjev vrednotenj, je tehnologija, ki stoji za njimi, ... pogosto dovzetni enakim vrstam ranljivosti kot katera koli druga programska oprema. Zato morajo biti igralci in vlagatelji previdni.
Če vlagate v kriptovalute, vam lahko ZenLedger pomaga združevati transakcije med borzami in denarnicami, izračunati kapitalske dobičke in izgube ter samodejno izpolniti priljubljene obrazce IRS. Lahko se celo integrirate s TurboTaxom, da avtomatizirate celoten postopek, hkrati pa imate na voljo robustno papirno sled, ki vas bo branila v primeru revizije.
