تداعيات اختراق جسر Ronin Bridge لشركة Axie Infinity بقيمة 650 مليون دولار

في أواخر شهر مارس ، تم اختراق Ronin ، وهو سلسلة جانبية من Ethereum تم تصميمه من أجل لعبة الرموز غير القابلة للفطريات الشهيرة التي تعتمد على اللعب لكسبها ، Axie Infinity ، لأكثر من 173،600 إيثر (ETH ) و 25.5 مليون دولار أمريكي عملة (USDC ) لبقيمة إجمالية تزيد عن 600 مليون دولار . & نبسب ؛

تم تأكيد الاختراق على جسر Ronin بواسطة Sky Mavis ، المطورين وراء لعبة اللعب من أجل الربح (P2E) الشهيرة:

كان هناك خرق أمني على شبكة رونين.https://t.co/ktAp9w5qpP

- رونين (Ronin_Network)29 مارس 2022

أشار التقرير الرسمي من الشركة إلى أن المتسللين تمكنوا من الوصول إلى المفاتيح الخاصة لعقد التحقق مما أدى إلى اختراق خمس عقد للتحقق ، وهو أيضًا الحد المطلوب للموافقة على المعاملة. تتكون سلسلة Ronin حاليًا من تسع عقد للتحقق من الصحة وتمكن المخترق من الوصول إلى أربعة منها جنبًا إلى جنب مع مدقق تابع لجهة خارجية تديره منظمة مستقلة لامركزية (DAO) Axie DAO.

يمكن إرجاع السبب الجذري للاستغلال إلى العام الماضي عندما منحت Axie DAO الوصول إلى Sky Mavis للتوقيع على المعاملات نيابة عنها لتخفيف حجم المستخدم. ومع ذلك ، لم يتم إبطال هذا الوصول مطلقًا ، مما أدى في النهاية إلى الوصول إلى الباب الخلفي من قبل المتسللين مما أدى إلى اختراق 600 مليون دولار.

حدث الاستغلال في 23 مارس ، ليتم اكتشافه بعد أسبوع تقريبًا بعد أن استخدم المتسللون الذين يقفون وراء الهجوم الأموال المسروقة لاختصار Axie Infinity (AXS ) ورونين (RON). كان المتسللون يأملون في جني المزيد من الأموال من استغلالهم ، معتقدين أن الأخبار المتعلقة بأكبر اختراق للعملات المشفرة ستؤدي في النهاية إلى انهيار السوق ، ومع ذلك ، تم تصفيتهم قبل انتشار الأخبار:

لا يمكنك اختلاق هذا

يسرق Hacker 600 مليون دولار في ETH من Ronin blockchain وهو Axie الأساسي

ثم يذهب هاكر باختصار Ronin & amp؛ AXS (رمز Axie) يعلم بمجرد ورود الأخبار أن الرموز المميزة ستنخفض

لكن لا أحد يلاحظ ذلك ويتم تصفيتهم قبل وقت قصير من ظهور الأخبار

- إريك جولدن (ericgoldenx)29 مارس 2022

تم إغلاق جسر رونين في أعقاب ذلك ، مع توقف جميع عمليات الإيداع والسحب حتى اكتمال التحقيق وقد يستغرق الأمر عدة أسابيع قبل فتح الجسر للاستخدام العام مرة أخرى. منذ ذلك الحين ، سعى المطورون وراء اللعبة إلى الحصول على المساعدة من مختلف منصات تبادل العملات المشفرة ومجموعة تحليل العملات المشفرة لتتبع حركة الأموال واستعادتها.

استبعدت Sky Mavis الثغرات التقنية باعتبارها السبب الأساسي وراء استغلال الثغرة وألقت باللوم على الهندسة الاجتماعية. وعد المطورون أيضًا بتعويض واسترداد الأموال المسروقة:

"كان هذا هجومًا للهندسة الاجتماعية مصحوبًا بخطأ بشري من ديسمبر 2021. تقنية Sky Mavis قوية وسنضيف العديد من أدوات التحقق الجديدة إلى شبكة Ronin قريبًا لزيادة اللامركزية في الشبكة ،"قال الشريك المؤسس لشركة Axie Infinity ورئيس العمليات بها ألكسندر ليونارد لارسن.

غسيل وسداد & nbsp؛

كان استغلال جسر Ronin مشابهًا تمامًا لما حدث على جسر Wormhole لـ Solana ، حيث تمكن المستغلون من الحصول على أموال تشفير بقيمة 320 مليون دولار من منصة Cross-bridge. في وقت لاحق من شهر فبراير ، أنقذت Jump Crypto - شركة رأس المال الاستثماري - المستخدمين المستغلين وتجديد 120،000 ETH .

قدمت Sky Mavis وعدًا مشابهًا في أعقاب الاستغلال ، مدعية أنها ستضمن تعويض المستخدمين المتأثرين حتى إذا لم يتم استرداد الأموال المفقودة. في 6 أبريل ، ابتكر مبدعو اللعبة الشعبيةجمعت 150 مليون دولار بقيادة تبادل العملات الرقمية Binance والمستثمرين الآخرين.

قال متحدث باسم Sky Mavis لكوينتيليغراف:

"من إجمالي المبلغ المسروق ، يمتلك المستخدمون حوالي 400 مليون دولار. ستضمن الجولة الجديدة ، جنبًا إلى جنب مع أموال Sky Mavis و Axie الميزانية العمومية ، تعويض جميع المستخدمين. سيظل مبلغ 56000 ETH المخترق من خزانة Axie DAO غير مضمون حيث تعمل Sky Mavis مع تطبيق القانون لاسترداد الأموال. إذا لم يتم استرداد الأموال المسروقة بالكامل في غضون عامين ، فإن Axie DAO ستصوت على الخطوات التالية للخزانة ".

كان الكثير في عالم التشفير يأمل ، مثل مستغل شبكة Poly Network ، المتسلل وراء استغلال Ronin Bridge في نهاية المطاف بإعادة الأموال المسروقة ، حيث إنه من الصعب جدًا غسل مثل هذا المبلغ الكبير من الأموال. ومع ذلك ، لم يكن هناك أي دليل على مثل هذا التواصل بين مطوري الألعاب والمتسللين ورفضت الشركة التعليق على حالة هذه الاتصالات.

قامت شركة Elliptic ، وهي شركة لتحليل البيانات المشفرة ، بتتبع 540 مليون دولار من الأموال المسروقة وتعتقد أن المتسللين قد بدأوا بالفعل في غسل الأموال. أولاً ، تم استبدال USDC المسروق بـ ETH في البورصات اللامركزية (DEXs) من أجل تجنب تجميده. & nbsp؛

بعد مبادلة USDC مقابل ETH ، بدأ المتسللون في غسل ETH عبر ثلاث بورصات مركزية. & nbsp؛

كما بدأت المحفظة الخاصة بالمتسللين على جسر رونينإرسال الأموال لخدمات خلط العملات مثل تورنادو كاش. من الجدير بالذكر أن مستغل شبكة Poly Network فعل الشيء نفسه في البداية ولكنه قرر في النهاية إعادة الأموال حيث أصبح غسيل مثل هذا المبلغ الكبير أمرًا صعبًا بشكل متزايد. وفقًا لتقرير PeckShield ، فإن المتسللينمغسول حوالي 42 مليون دولار من الأموال ، أو حوالي 7.5 ٪ من الإجمالي.

"القرصنة هي أسهل جزء. الجزء الأصعب هو التخطيط مسبقًا بشكل كافٍ للتأكد من نجاح صرف الأموال. علاوة على ذلك ، كلما زاد الاختراق ، زاد احتمال أن يتمكن المتسللون من تحقيق الربح بكل الأموال "قال جونا مايكلز ، رئيس الاتصالات في Immunefi - منصة مكافأة Web3 bug.

هل يمكن تجنب هذا الاختراق؟

على الرغم من أنه لا يتم جعل جميع سلاسل الكتل متساوية ، إلا أنها جميعًا تأسست على مبدأ اللامركزية ، مما يضمن عدم تركيز السلطة والأمن في أيدي كيان واحد. تم إبراز الحاجة إلى اللامركزية من خلال هذا الاختراق الهائل على Ronin. عند تصميم أنظمة للجمهور بهدف توزيع الطاقة والأمن ، يجب أن يكون الأمر على النحو التالي: التوزيع. ثبت أن استخدام تسعة مدققين ، أربعة منها يتحكم فيها طرف واحد ، غير آمن.

بينما يدعي صانعو اللعبة أن الاستغلال لم يحدث بسبب أي عيوب فنية ، فإن حقيقة أن المتسللين تمكنوا من استغلال والحصول على مدخل خلفي إلى إحدى عقد المصادقة الخاصة بهم لأن المطورين نسوا إبطال الوصول إلى العقد الثالث- يسلط مدقق الحزب الضوء بالتأكيد على مستوى معين من المركزية في عملية الموافقة على المدقق. أصبح هذا في النهاية سبب خسارة أصول تشفير بقيمة 600 مليون دولار. & nbsp؛

بالنسبة إلى لعبة مثل Axie Infinity بتقييم يبلغ 4 مليارات دولار وقاعدة مستخدمين تتراوح بالملايين ، كان بإمكان المطورين تحقيق أداء أفضل بالتأكيد من خلال الأمان عبر الجسور ، خاصةً عندما تكون المنصات المتقاطعة في الطرف المتلقي لبعض أكبر العملات المشفرة سرقات في العامين الماضيين.

قال جان بول فراق ، رئيس المجتمع والشراكات في Unstoppable Games ، لكوينتيليغراف:

"من الواضح أن لدى Axie و blockchain Ronin نوايا حسنة ورؤية كبيرة. في الواقع ، بالنظر إلى حالة التوسع في Ethereum عندما تم إنشاء Ronin ، قد تجادل بأنه كان الخيار الصحيح في ذلك الوقت ، لكن لديهم أيضًا الأموال لاستكشاف تدابير قوية لضمان حماية blockchain بشكل أفضل. سوف يلقون بالتأكيد نظرة فاحصة طويلة على كيفية التحسين ومن المحتمل أن يخرجوا إلى الجانب الآخر بمنتج أكثر قوة ".

لقد وعد مطورو اللعبة بزيادة عدد عقد المصادقة من تسعة إلى 21 في الربع القادم. وأكدوا أيضًا أنه إذا لم يتم استرداد الأموال المسروقة في غضون عامين ، فإن Axie DAO سيصوت على الخطوات التالية لخزانتها.