Pokémon-batteur de style NFT Axie Infini était l’un des plus grands « Succès » histoires dans le monde du jeu crypto. Aujourd’hui, il est responsable de l’un des plus gros vols de l’histoire de la technologie. La chaîne de blocs axée sur les jeux Ronin Network a annoncé plus tôt dans la journée qu’un Axie Infini exploit a permis à un pirate informatique de « drainer » environ 600 millions de dollars de crypto-monnaie du réseau.
« Il y a eu une faille de sécurité sur le réseau Ronin », a déclaré la société. annoncé sur sa sous-pile. «Plus tôt dans la journée, nous avons découvert que le 23 mars, les nœuds de validation Ronin de Sky Mavis et les nœuds de validation Axie DAO ont été compromis, ce qui a entraîné la fuite de 173 600 Ethereum et de 25,5 millions d’USDC du pont Ronin en deux transactions.»
La personne responsable aurait utilisé des clés privées piratées pour ordonner les retraits frauduleux. Comment, demandez-vous? Selon Ronin, « l’attaquant a trouvé une porte dérobée via notre nœud RPC sans gaz, dont ils ont abusé pour obtenir la signature du validateur Axie DAO ».
Fondamentalement, la « chaîne latérale » Ronin pour des jeux comme Axie Infini utilise « 9 nœuds de validation » pour empêcher les transactions frauduleuses. Cependant, en novembre, en raison de la forte demande des nouveaux Axie joueurs, Ronin a accordé des privilèges spéciaux à Sky Mavis, la société derrière le jeu, afin qu’elle puisse signer des transactions en son nom.
Sorti en 2018, Axie Infini a explosé en popularité dans certains quartiers d’Internet avec la montée des NFT et la spéculation du marché autour des jeux de blockchain et du métaverse. En partie collectathon de bestioles, en partie jeu de bataille de construction de deck, Axie Infini revendiqué 1,8 million d’utilisateurs quotidiens l’année dernière et a cassé 4 milliards de dollars de ventes NFT à vie plus tôt cette année. Maintenant, il semble avoir payé le prix de sa croissance rapide, coupant les coins de sécurité pour servir rapidement de nouveaux utilisateurs.
« L’Axie DAO a autorisé Sky Mavis à signer diverses transactions en son nom », écrit Ronin. « Cela a été interrompu en décembre 2021, mais l’accès à la liste d’autorisation n’a pas été révoqué. Une fois que l’attaquant a eu accès aux systèmes Sky Mavis, il a pu obtenir la signature du validateur Axie DAO en utilisant le RPC sans gaz.
Ronin a apparemment verrouillé des comptes pendant qu’il poursuit son enquête sur le piratage, ce qui signifie que personne ne peut retirer ses fonds même si le prix du RON, le jeton natif du réseau, a aurait chuté de plus de 25%.
Bizarre comment les réseaux de crypto-monnaie, défendus pour leur sécurité et leur décentralisation, continuent d’être cambriolés. En août dernier, un hacker s’est enfui avec plus de 600 millions de dollars du réseau Poly, bien que de nombreux fonds aient été restitués par la suite. En janvier, les pirates ont retiré plus de 30 millions de dollars de Crypto.com dans ce que la société a initialement qualifié d' »incident » discret. La plupart de ces fonds ont également été restaurés. Il reste à voir ce qui se passera avec la dernière violation massive de crypto.