Axie Infinity ressemble à un croisement entre un Tamagotchi et un Pokémon, un « univers numérique pour animaux de compagnie où les joueurs combattent, élèvent et échangent des créatures fantastiques appelées Axies », des créatures qui se trouvent être des NFT. Un article de février 2022 de Decrypt.co l’a décrit comme « le jeu NFT play-to-earn qui prend d’assaut la crypto », mais dans un développement choquant, le jeu a maintenant été pris par des pirates, à hauteur de plus de 600 millions de dollars. c’est l’un des plus grands cambriolages de crypto de tous les temps.
Axie utilise Ronin, une « sidechain » conçue spécifiquement pour le jeu qui permet aux utilisateurs d’accéder à la blockchain Ethereum sans payer la plupart des frais de transaction standard. Une sidechain, telle que définie par HackerNoon, est « une blockchain distincte qui est attachée à sa blockchain parente à l’aide d’une cheville bidirectionnelle [that] permet l’interchangeabilité des actifs à un rythme prédéterminé entre la blockchain mère et la sidechain. »
En termes plus simples, cela signifie que les joueurs d’Axie Infinity doivent avoir à la fois un portefeuille Ronin et un portefeuille Ethereum : la crypto-monnaie du portefeuille Ethereum est transférée au portefeuille Ronin via le pont Ronin, auquel cas elle peut être utilisée pour acheter Axies, le petit portefeuille du jeu. créatures. Dans l’état alpha actuel du jeu, les Axies peuvent être élevés, élevés, entraînés et forcés de se battre pour votre plaisir. Naturellement, ils peuvent également être achetés et vendus sur la blockchain.
C’est compliqué et honnêtement, la plupart du processus me dépasse, mais ce qui est important n’est pas ce qu’il fait mais ce qui lui a été fait : comme indiqué dans une mise à jour de la newsletter Ronin, le pont Ronin a été « exploité » pour 173 600 Ethereum et 25,5 M USDC, qui se convertit actuellement en plus de 617 millions de dollars.
Annonce importante concernant une faille de sécurité sur le réseau Ronin. https://t.co/88TilOGTX629 mars 2022
Le post de Ronin explique que le développeur d’Axie, Sky Mavis, dispose de neuf « nœuds de validation » sur le réseau Ronin, dont cinq sont nécessaires pour vérifier et approuver les dépôts et les retraits, un peu comme un vote à la majorité numérique qui automatise le processus afin de faire avancer les choses. à un rythme raisonnable. Le système est décentralisé afin de se protéger contre de telles attaques, mais l’attaquant a néanmoins pu prendre le contrôle des quatre validateurs de Sky Mavis et d’un validateur tiers, suffisamment pour forger les retraits.
Ironiquement (mais pas du tout surprenant), il semble que ce braquage ait été rendu possible au moins en partie par une erreur humaine. Le rapport indique qu’en novembre 2021, Sky Mavis a demandé l’aide de l’Axie DAO (Organisation autonome décentralisée) pour l’aider à distribuer des transactions gratuites aux joueurs d’Axie Infinity car elle ne pouvait pas gérer elle-même la charge des utilisateurs. Axie DAO a « mis sur liste blanche » Sky Mavis pour permettre les transactions, mais lorsque l’arrangement a pris fin un mois plus tard, personne n’a révoqué l’accès à la liste blanche.
Oups.
La bonne nouvelle, en ce qui concerne cela, est que la majeure partie de l’argent volé est toujours dans le portefeuille du pirate, ce qui facilitera vraisemblablement la récupération, et que toutes les cryptos encore sur Ronin sont sûres, bien qu’également inaccessibles. Sky Mavis a déclaré avoir été en contact avec les équipes de sécurité lors de « grands échanges » et avoir temporairement arrêté le pont Ronin afin d’empêcher de nouvelles attaques. L’activité sera réactivée « à une date ultérieure, une fois que nous serons certains qu’aucun fonds ne pourra être drainé ».
La brèche a eu lieu le 23 mars mais n’a été découverte que le 29 mars, lorsqu’un utilisateur a tenté de retirer 5 000 ETH du pont et n’a pas pu le faire. Ce n’est pas un grand témoignage de la sécurité du réseau, un point que Sky Mavis semblait reconnaître dans son message.
« Comme nous en avons été témoins, Ronin n’est pas à l’abri de l’exploitation et cette attaque a renforcé l’importance de donner la priorité à la sécurité, de rester vigilant et d’atténuer toutes les menaces », écrit-il. « Nous savons que la confiance doit être gagnée et nous utilisons toutes les ressources à notre disposition pour déployer les mesures et processus de sécurité les plus sophistiqués afin de prévenir de futures attaques.
« Les dépôts de l’ETH et de l’USDC sur Ronin ont été prélevés du contrat de pont. Nous travaillons avec les responsables de l’application des lois, les cryptographes légistes et nos investisseurs pour nous assurer qu’il n’y a pas de perte de fonds des utilisateurs. C’est notre priorité absolue en ce moment. »
Sky Mavis s’est également engagé à veiller à ce que « tous les fonds drainés soient récupérés ou remboursés ».
Les valeurs des crypto-monnaies fluctuent énormément – vous pouvez voir une année de hauts et de bas d’Ethereum dans le graphique ci-dessous – mais pour le moment, la valeur en argent réel du braquage dépasse le chiffre d’affaires de 610 millions de dollars qui a eu lieu en août 2021, décrit à l’époque » le plus gros hold-up DeFi (finance décentralisée) de tous les temps. »
Une année à l’EPF :