En ökänd nordkoreansk hackergrupp stal ETH och USDC värda ungefär 625 miljoner dollar den 23 mars 2022, vilket försatte Axie Infinity-ekosystemet i kaos. Medan moderbolaget, Sky Mavis, stängde säkerhetshålen väntar spelarna fortfarande på att se om de kommer att repareras och fascinerande detaljer fortsätter att dyka upp kring hackningen.
Låt oss titta på hur Axie Infinity fungerar, hur dess mekanik ledde till en allvarlig brist och hur organisationen reagerade på förlusten av 625 miljoner dollar.
Nordkoreanska hackare stal ETH och USDC värda ungefär 625 miljoner dollar från Axie Infinity-ekosystemet – här är vad som hände bakom kulisserna och vad spelare kan förvänta sig härnäst.
Vad är Axie Infinity?
Sky Mavis Axie Infinity är en populär blockchain-baserad play-to-earn-spelVarje spelare börjar med att skaffa minst tre "Axies" (NFT) med olika egenskaper och styrkor. Sedan kan spelarna använda sina Axies för att tävla mot andra i Pokémon-liknande tävlingar för att tjäna "smidiga kärleksdrycker", eller SLP, som de kan använda för att avla (och sälja) Axies.
Förra året lanserade Sky Mavis en Ethereums sidokedja känt som Ronin-nätverket för att förbättra transaktionshastigheter och eliminera bensinavgifter. Nätverket använder en konsensusmekanism för auktoritetsbevis med en handfull "betrodda enheter" som validerar enskilda transaktioner och sammanfogar dem tillbaka till Ethereum-blockkedjan i stora block.
I år lanserade företaget även RON-styrningstoken, vilket gör det möjligt för användare att betala för transaktioner på Ronin-nätverket och utnyttja decentraliserade finansfunktioner (DeFi), som styrning och potentiell staking genom validerare för att tjäna belöningar. Efter lanseringen i januari handlades token till cirka 3.75 dollar.
Hur hackare stal 625 miljoner dollar
De flesta Axie Infinity-spelare använder Ronin-bryggan för att konvertera SLP, AXS och RON till Ethereum eller fiatvaluta. Du kan tänka på en brygga som ett kasino där du sätter in kontanter, spelar med marker och sedan konverterar marker tillbaka till kontanter i slutet av dagen. I det här fallet hanterar smarta kontrakt konverteringar mellan ETH (kontanter) och "inpackad" ETH (marker).
Ronin-nätverkets validerare bekräftar dessa transaktioner innan de läggs till i Ethereums blockkedja. Tyvärr hade nätverket bara nio validerare, vilket gjorde det mottagligt för en "51%-attack" där en överenskommelse mellan bara fem av dem kunde förfalska transaktioner. Och värre, bevis-av-auktoritet-metoden gjorde attacken ännu enklare.
Den 23 mars 2022 komprometterade en nordkoreansk hackergrupp vid namn Lazarus fyra av de nio validerarna. Gruppen använde sin rösträtt för att förfalska transaktioner och stal 173 600 ETH och 25.5 miljoner USDC värda mer än 625 miljoner dollar. Problemet gick obemärkt förbi förrän den 26 mars 2022, då Sky Mavin stängde av uttag.
Man kan tänka sig stölden som ett kasino som förlorar kontanter värda 625 miljoner dollar medan sina marker fortfarande är i omlopp. Men markerna kanske inte längre har sitt 1:1-värde om det inte finns några kontanter bakom dem. Så för att åtgärda situationen försöker företaget få fram 625 miljoner dollar i kontanter för att återställa sina medel. Annars måste de devalvera tokens.
Axie Infinitys svar
Sky Mavis ökade nyligen antalet validerare i sitt nätverk till elva och kräver nu konsensus bland minst tio för att behandla transaktioner. Dessutom installerar företaget automatsäkringar för att övervaka uttag och identifiera potentiella problem mycket snabbare. Och slutligen säkrar de delar av sin egendom för att skapa ett säkerhetsnät.
Naturligtvis fyller ingen av dessa åtgärder på de redan förlorade medlen. Företaget hoppas kunna skaffa kapital för att täcka detta underskott. Även om 625 miljoner dollar är en hög siffra har företaget redan tagit in 152 miljoner dollar i serie B-finansiering och hade en värdering före hacking på cirka 3 miljarder dollar, vilket innebär att det kan ha ett visst utrymme för flexibilitet.
Den goda nyheten är att kryptobörser skulle kunna återfå en del av dessa medel. Hackarna försökte till exempel flytta sina stulna medel till 86 Binance konton som börsen omedelbart beslagtog, vilket gav cirka 6 miljoner dollar i återvunna medel. Hackarna kommer dock sannolikt att omdirigera de flesta pengarna till anonyma kryptovalutor, som Tornado Cash.
Lärdomar för kryptoentusiaster
Axie Infinitys Ronin-hack var bara det senaste i en lång trend av säkerhetsintrång. Till exempel förlorade Polygon Network 611 miljoner dollar i augusti 2021, även om hackaren återlämnade merparten av pengarna. Ett annat känt exempel var Wormhole-kupp, där hackare riktade in sig på en bro för att stjäla 326 miljoner dollar, men intressenterna fick så småningom alla att måna.
Den största slutsatsen från dessa rån och andra är att kryptoprojekt är beroende av smarta kontrakt och nya idéer. Tyvärr, smarta kontrakt kan innehålla buggar som förvandlas till kostsamma sårbarheter, precis som alla program. Samtidigt letar hackare ständigt efter sätt att utnyttja nya idéer kring konsensusmekanismer.
Du kan undvika dessa problem på flera sätt:
- Diversifiera dina kryptovalutainvesteringar. Så om en enskild valuta faller förlorar du inte allt.
- Ta regelbundet ut P2E-spelintäkter till stabila kryptovalutor, som Ethereum.
- Var försiktig med nya idéer kring konsensusmekanismer och smarta kontrakt.
Det positiva med dessa attacker är att du kanske kan skriva av dina förluster på skatten – så länge de inte beror på stöld eller fysisk förlust. Till skillnad från aktier och obligationer omfattas inte kryptovalutor av Tvättförsäljningsregel som hindrar personer från att begära avdrag för förlust om de återköper en identisk tillgång inom 30 dagar. Så du kan kvitta eventuella kapitalvinster och upp till 3 000 dollar i vanlig inkomst.
The Bottom Line
Axie Infinity-hacket är en allvarlig påminnelse om att det decentraliserade finans- och play-to-earn-ekosystemet fortfarande är i sin linda. Även om de kan attrahera miljardvärden, är tekniken bakom dem ofta mottagliga för samma typer av sårbarheter som all annan programvara. Så spelare och investerare bör gå försiktigt fram.
Om du investerar i kryptovalutor kan ZenLedger hjälpa dig att aggregera transaktioner över börser och plånböcker, beräkna dina kapitalvinster och -förluster och automatiskt fylla i populära IRS-blanketter. Du kan till och med integrera med TurboTax för att automatisera hela processen samtidigt som du har en robust dokumentation på plats för att försvara dig vid en revision.
