WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Hacker đánh cắp 625 triệu đô la từ blockchain sau trò chơi NFT Axie Infinity
Số tiền điện tử trị giá khoảng 625 triệu đô la đã bị đánh cắp khỏi Ronin, trò chơi tiền điện tử nổi tiếng trên nền tảng blockchain Axie Infinity. Hôm qua, nhà điều hành Sky Mavis của Ronin và Axie Infinity đã thông báo và đóng băng các giao dịch trên Ronin, cho phép gửi và rút tiền từ blockchain của hãng.
Sky Mavis cho biết họ đang làm việc với cơ quan thực thi pháp luật để thu hồi 173.600 Ethereum (hiện trị giá khoảng 600 triệu đô la) và 25,5 triệu USDC (một loại tiền điện tử được gắn với đô la Mỹ) từ hacker, kẻ đã rút nó khỏi mạng vào ngày 23/3. Cuộc tấn công tập trung vào cầu nối với blockchain Sky Mavis ’Ronin, trung gian giữa Axie Infinity và các blockchain tiền điện tử khác như Ethereum. Người dùng có thể gửi Ethereum hoặc USDC cho Ronin, sau đó mua các vật phẩm hoặc tiền tệ trong trò chơi hoặc họ có thể bán tài sản trong trò chơi của mình và rút tiền.
Theo Sky Mavis, một kẻ tấn công đã sử dụng các khóa bảo mật cá nhân bị tấn công để xâm phạm các nút mạng xác thực chuyển đến và đi từ blockchain Ronin. Điều đó cho phép kẻ tấn công lặng lẽ rút một lượng lớn Ethereum và USDC. Việc chuyển tiền được phát hiện sau gần 1 tuần - khi một người dùng khác cố gắng rút 5.000 Ethereum thông qua cổng giao dịch.
Roinin không miễn nhiễm với nguy cơ bị khai thác
Sky Mavis cho biết các mã thông báo NFT “axie” mà người chơi phải mua để truy cập Axie Infinity đã không bị xâm phạm, cũng như không có tiền điện tử SLP và AXS trong trò chơi được sử dụng để chiến đấu và nhân giống các axolotls hoạt hình giống Pokemon. Số tiền của những người dùng khác trên blockchain Ronin đang tiếp tục được quan tâm. Sky Mavis cho biết họ “đang làm việc với các quan chức thực thi pháp luật, các nhà đầu tư để đảm bảo không mất tiền của người dùng”, và gọi đó là “ưu tiên hàng đầu”.
Các nút xác thực là một tính năng của proof-of-stake blockchains giống như Ronin, ít tiêu tốn năng lượng hơn các hệ thống proof-of-work systems như Bitcoin và Ethereum. Các nút xem xét các giao dịch mới để xác nhận rằng đầu vào và đầu ra của chúng khớp nhau giữa chữ ký ủy quyền hợp lệ, từ chối bất kỳ giao dịch nào không phù hợp. Sử dụng số lượng nút ít hơn sẽ nhanh hơn và hiệu quả hơn - nhưng như vụ hack cho thấy, nó có thể tạo ra rủi ro bảo mật nếu phần lớn các nút bị xâm phạm. Đó là một lỗ hổng tiềm ẩn đối với các blockchain được quảng cáo là rẻ hơn và thân thiện với môi trường hơn Ethereum.
Nút xác thực là chức năng chính của chuỗi Blockchain ít tiêu tốn năng lượng
Theo Sky Mavis, cuộc tấn công Ronin có thể xảy ra một phần là do hãng đã sử dụng một lối tắt để giảm tải "lượng người dùng khổng lồ" trên mạng của mình vào tháng 11 năm ngoái - vài tháng sau khi trò chơi này trở nên phổ biến ở Philippines và các quốc gia khác, nơi người chơi kết nối. Hệ thống đã ngừng hoạt động vào tháng 12, nhưng các quyền lại không bị thu hồi. Ngoài việc xâm phạm bốn trong số các nút riêng của Sky Mavis, kẻ tấn công đã khai thác chúng để có quyền truy cập vào một nút do Axie DAO thuộc sở hữu cộng đồng quản lý. Sau khi xâm phạm năm trong số chín nút xác thực, kẻ tấn công có thể ghi đè một cách hiệu quả bất kỳ bảo mật giao dịch nào và bất kỳ khoản rút tiền nào mà chúng thích.
Sky Mavis cho biết họ sẽ tăng số lượng nút cần thiết lên 8 nút cho các giao dịch và sẽ mở lại cầu Ronin “vào một ngày sau đó” khi chắc chắn rằng không thể rút hết tiền nữa. Hiện tại, vụ vi phạm Ronin dường như là vụ hack lớn nhất cho đến nay của các mạng “tài chính phi tập trung”, sau vụ trộm 322 triệu đô la từ giao thức cầu nối Wormhole vào tháng trước.
Sky Mavis cho biết họ đang làm việc với cơ quan thực thi pháp luật để thu hồi 173.600 Ethereum (hiện trị giá khoảng 600 triệu đô la) và 25,5 triệu USDC (một loại tiền điện tử được gắn với đô la Mỹ) từ hacker, kẻ đã rút nó khỏi mạng vào ngày 23/3. Cuộc tấn công tập trung vào cầu nối với blockchain Sky Mavis ’Ronin, trung gian giữa Axie Infinity và các blockchain tiền điện tử khác như Ethereum. Người dùng có thể gửi Ethereum hoặc USDC cho Ronin, sau đó mua các vật phẩm hoặc tiền tệ trong trò chơi hoặc họ có thể bán tài sản trong trò chơi của mình và rút tiền.
Theo Sky Mavis, một kẻ tấn công đã sử dụng các khóa bảo mật cá nhân bị tấn công để xâm phạm các nút mạng xác thực chuyển đến và đi từ blockchain Ronin. Điều đó cho phép kẻ tấn công lặng lẽ rút một lượng lớn Ethereum và USDC. Việc chuyển tiền được phát hiện sau gần 1 tuần - khi một người dùng khác cố gắng rút 5.000 Ethereum thông qua cổng giao dịch.
Roinin không miễn nhiễm với nguy cơ bị khai thác
Sky Mavis cho biết các mã thông báo NFT “axie” mà người chơi phải mua để truy cập Axie Infinity đã không bị xâm phạm, cũng như không có tiền điện tử SLP và AXS trong trò chơi được sử dụng để chiến đấu và nhân giống các axolotls hoạt hình giống Pokemon. Số tiền của những người dùng khác trên blockchain Ronin đang tiếp tục được quan tâm. Sky Mavis cho biết họ “đang làm việc với các quan chức thực thi pháp luật, các nhà đầu tư để đảm bảo không mất tiền của người dùng”, và gọi đó là “ưu tiên hàng đầu”.
Các nút xác thực là một tính năng của proof-of-stake blockchains giống như Ronin, ít tiêu tốn năng lượng hơn các hệ thống proof-of-work systems như Bitcoin và Ethereum. Các nút xem xét các giao dịch mới để xác nhận rằng đầu vào và đầu ra của chúng khớp nhau giữa chữ ký ủy quyền hợp lệ, từ chối bất kỳ giao dịch nào không phù hợp. Sử dụng số lượng nút ít hơn sẽ nhanh hơn và hiệu quả hơn - nhưng như vụ hack cho thấy, nó có thể tạo ra rủi ro bảo mật nếu phần lớn các nút bị xâm phạm. Đó là một lỗ hổng tiềm ẩn đối với các blockchain được quảng cáo là rẻ hơn và thân thiện với môi trường hơn Ethereum.
Nút xác thực là chức năng chính của chuỗi Blockchain ít tiêu tốn năng lượng
Theo Sky Mavis, cuộc tấn công Ronin có thể xảy ra một phần là do hãng đã sử dụng một lối tắt để giảm tải "lượng người dùng khổng lồ" trên mạng của mình vào tháng 11 năm ngoái - vài tháng sau khi trò chơi này trở nên phổ biến ở Philippines và các quốc gia khác, nơi người chơi kết nối. Hệ thống đã ngừng hoạt động vào tháng 12, nhưng các quyền lại không bị thu hồi. Ngoài việc xâm phạm bốn trong số các nút riêng của Sky Mavis, kẻ tấn công đã khai thác chúng để có quyền truy cập vào một nút do Axie DAO thuộc sở hữu cộng đồng quản lý. Sau khi xâm phạm năm trong số chín nút xác thực, kẻ tấn công có thể ghi đè một cách hiệu quả bất kỳ bảo mật giao dịch nào và bất kỳ khoản rút tiền nào mà chúng thích.
Sky Mavis cho biết họ sẽ tăng số lượng nút cần thiết lên 8 nút cho các giao dịch và sẽ mở lại cầu Ronin “vào một ngày sau đó” khi chắc chắn rằng không thể rút hết tiền nữa. Hiện tại, vụ vi phạm Ronin dường như là vụ hack lớn nhất cho đến nay của các mạng “tài chính phi tập trung”, sau vụ trộm 322 triệu đô la từ giao thức cầu nối Wormhole vào tháng trước.
Theo: TheVerge