Mardi, les joueurs jouant à l’actif blockchain et au jeu de combat de Sky Mavis, Axie Infinity, ont trouvé plus de 600 millions de dollars en ETH et USDC manquants dans leur écosystème. L’attaque contre le réseau sous-jacent du groupe, Ronin Bridge, est survenue après que cinq de ses nœuds de validation aient vu leurs clés privées compromises. Les développeurs ont suspendu les transactions sur Ronin Bridge jusqu’à ce qu’ils puissent s’assurer qu’aucun autre fonds ne peut être volé.
Le pont Ronin a été exploité pour 173 600 Ethereum et 25,5 M USDC.
Le pont Ronin et Katana Dex ont été arrêtés.
— Ronin (@Ronin_Network) 29 mars 2022
L’attaque met en évidence certains des problèmes d’insécurité entourant les « sidechains » ; réseaux qui regroupent les transactions en dehors d’une blockchain principale et les confirment périodiquement sur la chaîne pour atteindre un degré de vérification auditable. Ils sont principalement utilisés sur des chaînes réputées pour leurs frais élevés et leur congestion, telles que BTC (le Lightning Network) et Ethereum.
Les jeux utilisant la blockchain BSV, tels que CryptoFights, ne souffrent pas de vulnérabilités de la chaîne latérale – BSV a la vitesse et la capacité de gérer toutes les transactions de jeu sur la chaîne principale. Cela inclut à la fois les données de jeu et les actifs des joueurs, ainsi que toute autre application exécutée sur BSV.
Axie Infinity est un jeu de combat où les utilisateurs jouent pour gagner des jetons échangeables, tels que « Smooth Love Potion » (SLP). Comme d’autres jeux de ce type, Axie est particulièrement populaire dans les pays en développement, où le revenu mensuel d’un joueur peut dépasser la moyenne nationale. Les États-Unis arrivent en troisième position dans le classement des pays d’Axie Infinity, derrière les Philippines et le Venezuela, et juste devant l’Indonésie, la Thaïlande et la Malaisie.
En réponse aux nouvelles du piratage, certains se sont plaints que les développeurs de Ronin Network auraient dû être plus conscients des vulnérabilités. Axie Infinity lui-même avait déjà fait face à des plaintes de détenteurs de jetons SLP agacés par le fait que les développeurs n’avaient pas déployé plus d’efforts pour augmenter le prix de l’actif. Ce dernier est un événement plus courant et familier dans le monde de la blockchain.
Jeux NFT et DEX
Selon la biographie Twitter de Ronin Network, cela « débloque une hyper-croissance pour les jeux NFT ». En janvier, il revendiquait 250 000 adresses uniques, 15 % de toutes les transactions NFT en 2021 et 5 milliards de dollars américains en « valeur déposée ». Le réseau comprend Katana, le propre DEX (échange décentralisé) de Ronin et l’un des DEX les plus actifs au monde.
La chaîne Ronin fonctionne comme une chaîne latérale Ethereum. Il dispose de neuf « nœuds de validation » avec cinq signatures requises pour effectuer un dépôt ou un retrait. L’attaquant a réussi à accéder à cinq clés et à vider les fonds en seulement deux transactions. Les cinq clés provenaient de quatre des validateurs Ronin officiels de Sky Mavis, plus une appartenant à Axie DAO, un nœud tiers mis en place pour aider d’autres validateurs à gérer la charge de transaction.
Un article de blog sur les pages Substack de Ronin a expliqué comment cela s’est passé :
«Cela remonte à novembre 2021 lorsque Sky Mavis a demandé l’aide du DAO Axie pour distribuer des transactions gratuites en raison d’une immense charge d’utilisateurs. Le DAO d’Axie a autorisé Sky Mavis à signer diverses transactions en son nom. Cela a été interrompu en décembre 2021, mais l’accès à la liste d’autorisation n’a pas été révoqué.
Traquer le pirate du pont Ronin
Les développeurs de Ronin ont déclaré avoir trouvé l’adresse du portefeuille du pirate, qui, au moment de mettre sous presse, semblait toujours détenir tous les bénéfices du vol. La société de criminalistique Blockchain Chainalysis est sur l’affaire, et l’équipe s’entretient avec les équipes de sécurité lors des échanges et « travaille directement avec diverses agences gouvernementales » pour retrouver les responsables.
Les principales bourses d’échange, dont Huobi et Binance, ont indiqué qu’elles soutiendraient Axie Infinity en gardant un œil sur tout échange d’actifs suspect.
Huobi soutiendra pleinement @AxieInfinity car il traite des conséquences de l’attaque et du vol sur sa chaîne Ronin. Tous les actifs cryptographiques volés qui ont été découverts comme ayant traversé notre échange et les réseaux associés seront traités rapidement.
—Huobi (@HuobiGlobal) 29 mars 2022
Notre équipe est en contact avec l’équipe AxieInfinity pour vous aider à suivre ce problème. https://t.co/pNU4wwrCAq
— CZ 🔶 Binance (@cz_binance) 29 mars 2022
Chaque fois que des transactions se produisent hors chaîne, sur un réseau séparé, les attaquants ont des opportunités supplémentaires de trouver des vulnérabilités. Les réseaux peuvent être beaucoup plus petits avec moins de processeurs ou mal construits. L’ajout de plus en plus de complexité à n’importe quel système permet l’exploitation et l’abus simplement parce que moins de personnes peuvent comprendre ou suivre tout ce qui se passe.
C’est pour cette raison que BSV fonctionne exactement de la même manière que Bitcoin au cours de la dernière décennie, mais avec une capacité de mise à l’échelle considérablement accrue. Bien qu’il y ait eu de nombreux « hacks » Bitcoin au cours de cette période, aucun ne ciblait le réseau lui-même – ils étaient tous dus à une mauvaise sécurité des sociétés tierces qui géraient les adresses Bitcoin. Avec une mise à l’échelle illimitée, BSV fonctionne exactement comme Satoshi Nakamoto l’avait prévu, sans avoir besoin de changements de protocole à la volée, de solutions de couche boulonnées et d’autres ajouts.
Regardez: Discussion CoinGeek New York, eSports & Blockchain: Le prochain niveau de jeu professionnel
Nouveau sur Bitcoin? Découvrez CoinGeek Bitcoin pour les débutants section, le guide de ressources ultime pour en savoir plus sur Bitcoin – tel qu’envisagé à l’origine par Satoshi Nakamoto – et la blockchain.