Axie Infini Le développeur Sky Mavis a annoncé mardi une violation massive de sa chaîne latérale de crypto-monnaie Ronin. Un attaquant a utilisé des « clés privées piratées » pour percer le réseau de validation de Ronin, a déclaré Sky Mavis, transférant 173 600 ethereum (d’une valeur d’environ 594 millions de dollars aux taux actuels) et 25,5 millions de dollars en stablecoin USDC dans le cadre de l’une des plus grandes violations de l’histoire de la crypto-monnaie. .
Pour comprendre la nature de cette violation, laissez-nous vous emmener dans un cours intensif sur la courte histoire de Axie Infini et le réseau complexe de normes et de technologies cryptographiques qui ont permis à l’exploit de se produire.
Donc, vous pouvez, genre, gagner de l’argent en jouant à un jeu ?
Axie Infini a été cité comme l’une des premières réussites du jeu dit blockchain. Ces jeux utilisent des protocoles décentralisés pour suivre la propriété de certains éléments du jeu et permettent généralement aux joueurs d’avoir un certain contrôle sur la revente de ces éléments.
Jouer Axie Infini, les joueurs doivent acheter au moins trois NFT d’Axies jouables dans le jeu sur le marché libre (ou les emprunter aux propriétaires). Jouer avec ces Axies rapporte ensuite aux joueurs des potions d’amour douces (SLP), qui peuvent alimenter les Axies ou être vendues à d’autres joueurs comme marchandise, créant ainsi une boucle « jouer pour gagner ».
L’année dernière, il y avait suffisamment de battage médiatique et d’argent dans ce système pour que certains joueurs aux Philippines aient pu gagner un salaire local décent simplement en jouant au jeu comme travail à plein temps. Mais ce succès précoce a aidé à attirer davantage de joueurs qui espéraient monter dans le train du jeu pour gagner, qui a inondé le marché de SLP.
Avec peu de nouveaux acheteurs venant acheter tous ces SLP, la valeur des potions (en dollars) a chuté d’environ 80% depuis début novembre et de 95% depuis son pic de mai dernier, selon CoinGecko. Comme la valeur du SLP a cratéré, il en va de même pour le nombre d’actifs quotidiens Axie Infini joueurs et le nombre de nouveaux joueurs achetant de nouveaux Axies.
(Pour en savoir plus sur le fonctionnement de l’économie Axie et sur la façon dont elle s’effondre sans nouveaux joueurs qui souhaitent acheter des SLP, lisez ce long rapport du cabinet de conseil Naavik.)
Le maillon faible de la (side)chaine
Tandis que Axie Infini fonctionnait à l’origine directement sur la blockchain Ethereum, les coûts de transaction élevés et les vitesses de transaction lentes sur ce réseau sont rapidement devenus intenables à mesure que le jeu se développait. Pour contourner ces frais, Sky Mavis en 2020 a commencé à utiliser une sidechain – une blockchain privée parallèle fonctionnant au-dessus d’Ethereum qui pourrait contourner la nécessité de payer du « gaz » Ethereum pour chaque transaction.
Sky Mavis s’est initialement associé à Loom Networks pour cette fonctionnalité de sidechain. En mars 2020, cependant, la société rompu ce partenariat et a introduit sa propre chaîne latérale appelée Ronin.
Contrairement à la blockchain Ethereum de preuve de travail distribuée, la chaîne latérale Ronin fonctionne sur un système de preuve d’autorité beaucoup plus centralisé. Plutôt que de consulter l’ensemble du réseau de blockchain distribué pour confirmer les transactions, ce système de preuve d’autorité exécute ses transactions via un petit ensemble de nœuds « validateurs » de confiance et triés sur le volet. Chaque nœud mise une partie de sa réputation sur la validation de chaque transaction, punissant théoriquement les acteurs isolés qui tentent de déjouer le système.
Les échanges centralisés comme Binance et les échanges décentralisés comme Katana permettent aux utilisateurs un « pont » pour transférer leurs actifs dans le jeu entre Ronin et la principale blockchain Ethereum. Mais parce que ces transferts peuvent se produire plus occasionnellement et à grande échelle, les coûts de transaction finissent par être beaucoup plus bas.
Le système de preuve d’autorité de Ronin, centralisé dans seulement neuf nœuds de validation, est la clé de sa capacité à fournir un volume de transactions plus élevé à un coût bien inférieur à celui du vaste réseau Ethereum. Cela a également fini par être le point faible de Ronin, dans ce cas.
Comme l’explique Sky Mavis, l’attaquant inconnu a pu violer les systèmes de Sky Mavis et obtenir un accès complet à quatre nœuds de validation contrôlés par l’entreprise. L’attaquant a ensuite pu utiliser une porte dérobée restante dans ces nœuds pour prendre le contrôle d’un autre validateur contrôlé par le DAO Axie décentralisé.
Avec ce cinquième nœud de validation, l’attaquant pourrait alors fournir une majorité de signatures de validation sur toute transaction qu’il souhaite, entraînant des transferts frauduleux.