Озлоглашена севернокорејска хакерска група украла је ETH и USDC вредне око 625 милиона долара 23. марта 2022. године, бацајући екосистем Axie Infinity у хаос. Док је матична компанија, Sky Mavis, затворила безбедносне рупе, играчи и даље чекају да виде да ли ће бити опорављени, а фасцинантни детаљи о хаковању и даље појављују.
Хајде да погледамо како функционише Axie Infinity, како је његова механика довела до фаталне грешке и како је организација реаговала на губитак од 625 милиона долара.
Севернокорејски хакери украли су ETH и USDC вредне око 625 милиона долара из екосистема Axie Infinity - ево шта се догодило иза кулиса и шта играчи могу очекивати следеће.
Шта је Акие Инфинити?
Sky Mavis-ов Axie Infinity је популарна платформa заснована на блокчејну. игра за зарадуСваки играч почиње тако што стиче најмање три „Аксија“ (NFT) са различитим особинама и снагама. Затим, играчи могу да користе своје Аксије да се боре са другима у такмичењима у стилу Покемона како би зарадили „глатке љубавне напитке“ или SLP-ове, које могу да користе за узгој (и продају) Аксија.
Прошле године, Sky Mavis је покренуо Етхереум сидецхаин позната као Ронин мрежа за побољшање брзине трансакција и елиминисање накнада за гориво. Мрежа користи механизам консензуса о доказу ауторитета са неколико „поузданих ентитета“ који валидирају појединачне трансакције и спајају их назад у Етереум блокчејн у великим блоковима.
Ове године, компанија је такође лансирала RON токен за управљање, омогућавајући корисницима да плаћају трансакције на Ronin мрежи и користе функције децентрализованих финансија (DeFi), као што су управљање и потенцијално улагање путем валидатора за зарађивање награда. Након лансирања у јануару, токен се трговао по цени од око 3.75 долара.
Како су хакери украли 625 милиона долара
Већина играча Axie Infinity-ја користи Ronin мост за конвертовање SLP, AXS и RON у Ethereum или фиат валуту. Мост можете замислити као казино где уплаћујете новац, коцкате се са жетоновима, а затим на крају дана конвертујете жетоне назад у готовину. У овом случају, паметни уговори обрађују конверзије између ETH (готовине) и „упакованих“ ETH (жетона).
Валидатори мреже Ронин потврђују ове трансакције пре него што их додају у блокчејн Етереума. Нажалост, мрежа је имала само девет валидатора, што ју је чинило подложном „нападу од 51%“ где би договор између само пет њих могао да фалсификује трансакције. И још горе, приступ доказивања ауторитета учинио је напад још лакшим.
Дана 23. марта 2022. године, севернокорејска хакерска група под називом Лазарус компромитовала је четири од девет валидатора. Група је искористила своју гласачку моћ да фалсификује трансакције, укравши 173,600 ETH и 25.5 милиона USDC вредних више од 625 милиона долара. Проблем је остао непримећен до 26. марта 2022. године, када је Sky Mavin обуставио исплате.
Можете замислити крађу као губитак 625 милиона долара у казину, док су му жетони још увек у оптицају. Али, наравно, жетони можда више неће имати своју вредност 1:1 ако немају готовинску подлогу. Дакле, да би решила ситуацију, компанија покушава да прикупи 625 милиона долара у готовини како би обновила средства. У супротном, мораће да девалвира токене.
Одговор групе Axie Infinity
Компанија Sky Mavis је недавно повећала број валидатора на својој мрежи на једанаест и сада захтева консензус између најмање десет за обраду трансакција. Поред тога, компанија инсталира прекидаче како би пратила исплате и много брже идентификовала потенцијалне проблеме. И коначно, обезбеђује делове своје благајне како би створила сигурносну мрежу.
Наравно, ниједна од ових акција не надокнађује већ изгубљена средства. Компанија се нада да ће прикупити капитал како би надокнадила тај мањак. Иако је 625 милиона долара висока цифра, компанија је већ прикупила 152 милиона долара у финансирању серије Б и имала је процену вредности пре хаковања од око 3 милијарде долара, што значи да би могла имати мало простора за маневрисање.
Добра вест је да би крипто берзе могле да поврате део ових средстава. На пример, хакери су покушали да пребаце своја украдена средства на 86 Бинанце рачуне које је берза одмах запленила, што је донело око 6 милиона долара повраћених средстава. Међутим, хакери ће вероватно већину новца преусмерити у анонимне криптовалуте, попут Торнадо Кеша.
Лекције за крипто ентузијасте
Хаковање Ронина компаније Axie Infinity било је само последње у дугом тренду безбедносних пропуста. На пример, у августу 2021. године, Polygon Network је изгубио 611 милиона долара, иако је хакер вратио већину средстава. Још један познати пример била је пљачка Wormhole-а, где су хакери циљали мост да би украли 326 милиона долара, али су заинтересоване стране на крају све исцелиле.
Највећа поука из ових и других пљачки је да се крипто пројекти ослањају на паметне уговоре и нове идеје. Нажалост, паметни уговори може садржати грешке које се претварају у скупе рањивости као и сваки софтверски програм. Истовремено, хакери стално траже начине да искористе нове идеје око механизама консензуса.
Ове проблеме можете избећи на неколико начина:
- Диверзификујте своја улагања у криптовалуте. Дакле, ако једна валута падне, нећете изгубити све.
- Редовно исплаћујте зараду од P2E игара у стабилне криптовалуте, попут Етереума.
- Пажљиво приступите новим идејама о механизмима консензуса и паметним уговорима.
Добра страна ових напада је то што можда можете да отпишете своје губитке у порезу — све док нису последица крађе или физичког губитка. За разлику од акција и обвезница, криптовалуте нису подложне Правило продаје прања који забрањује људима да траже одбитке за губитак ако поново купе идентичну имовину у року од 30 дана. Дакле, можете надокнадити било какву капиталну добит и до 3,000 долара редовног прихода.
Резиме
Хаковање Axie Infinity-а је озбиљна опомена да су децентрализоване финансије и екосистем „играј-за-зараду“ још увек у повоју. Иако могу привући процене вредности од милијарду долара, технологија која стоји иза њих је... често подложни на исте врсте рањивости као и било који други софтвер. Дакле, играчи и инвеститори треба да буду опрезни.
Ако инвестирате у криптовалуте, ZenLedger вам може помоћи да агрегирате трансакције на различитим берзама и новчаницима, израчунате капиталне добитке и губитке и аутоматски попуните популарне IRS обрасце. Можете се чак интегрисати са TurboTax-ом да бисте аутоматизовали цео процес, а истовремено имали робустан папирни траг који ће вас заштитити у случају ревизије.
