Menempatkan Keamanan Jembatan Lintas Rantai Di Bawah Mikroskop: Ronin $620 Juta Peretasan Axie Infinity Kontroversial

1. Pada tanggal 29 Maret, Ronin, rantai samping khusus dari permainan rantai terbesar Axie Infinity, mengumumkan bahwa mereka telah diserang, dengan nilai kerugian $616 juta, menjadikannya pencurian terbesar dalam sejarah DeFi.

2. Peretas berhasil mengendalikan empat validator simpul dan validator pihak ketiga dari jembatan Ronin, mampu mencapai ambang batas verifikasi jembatan rantai silang dan berhasil mengimplementasikan serangan.

3. Saat ini, proyek jembatan lintas rantai yang sangat berharga dan mudah diserang ini telah menjadi target serius banyak peretas.

4. Pada tanggal 5 Januari, Vitalik menyatakan bahwa masa depan blockchain adalah "multi-chain" daripada "cross-chain", dan menekankan masalah keamanan lintas-rantai.

Pada tanggal 29 Maret, Ronin, rantai samping khusus dari permainan rantai terbesar Axie Infinity, mengumumkan bahwa itu telah diserang dan 173600 ETH dan lebih dari 25 juta USDC telah dicuri. Nilai kerugian Ronin mencapai $616 juta, melampaui 611 juta dalam kasus pencurian Poly Network Agustus lalu, yang juga menjadi pencurian terbesar dalam sejarah DeFi.

Untuk kasus pencurian Poly Network, silakan merujuk ke posting blog kami sebelumnya: Poly Network Heist — Alarm Bells in DeFi Security


Menurut berita resmi Ronin, pada 23 Maret, peretas menggunakan kunci pribadi yang diretas untuk memasuki sistem dan memalsukan dua penarikan palsu untuk mewujudkan serangan tersebut. Baru pada 29 Maret, lima hari kemudian, pejabat proyek menemukan serangan tersebut karena seorang pengguna melaporkan bahwa 5000 ETH tidak dapat ditarik dari jembatan lintas rantai. Setelah pencurian, pejabat Ronin segera menghentikan Jembatan Ronin dan Katana, pertukaran terpusat di rantai. Selain itu, pejabat Ronin juga mengatakan bahwa serangan ini menunjukkan potensi masalah keamanan jembatan Ronin, dan keamanan blockchain Ronin itu sendiri masih terjamin.

Begitu berita itu keluar, harga berbagai aset terkait, termasuk AXS dan RON, turun drastis.



Detail serangan peretas

---

Axie infinity saat ini adalah game blockchain paling populer, dengan lebih dari 10 juta pemain di seluruh dunia. Gim ini telah menciptakan mode "play-to-earn" yang luas. Pemain dapat memperoleh aset NFT atau berbagai token selama bermain, dan dapat ditukar dengan aset lain seperti wETH dan stablecoin di bursa.

Untuk memenuhi persyaratan perdagangan alat peraga frekuensi tinggi dalam permainan dan mengurangi biaya penanganan transaksi, Axie Infinity tidak menggunakan jaringan utama Ethernet yang lebih aman, tetapi membangun rantai samping Ethernet berkinerja tinggi sendiri, Ronin. Selain itu, untuk memastikan kecepatan transaksi, Ronin mengadopsi model konsensus Proof-of-Authority (POA) yang unik, yang memiliki sejumlah kecil verifier dan tingkat sentralisasi yang tinggi. Bukti otoritatif mengharuskan verifikator ini memiliki reputasi yang baik. Mereka perlu mempertaruhkan "reputasi" mereka untuk menjadi verifikator. Jika verifikator menunjukkan tanda-tanda perilaku buruk atau mengancam keamanan jaringan, "reputasi" akan terpengaruh secara negatif.


Untuk memainkan Axie Infinity, Anda harus memiliki tiga hewan peliharaan NFT. Tiga Sumbu awal adalah tiket ke permainan dan harus dibeli di toko permainan. Untuk alasan ini, ETH pada blockchain Ethereum, harus diubah menjadi weTH pada rantai Ronin. Proses ini dilakukan melalui jembatan lintas rantai khusus. Selanjutnya kita bisa menggunakan WETH untuk membeli Axie di toko game. Di sinilah jembatan lintas rantai menjadi kelemahan Ronin dan terobosan serangan hacker ini.

Sebelumnya, total sembilan node validasi bertanggung jawab bersama untuk pemeliharaan jembatan lintas rantai. Setidaknya lima tanda tangan dari sembilan node diperlukan untuk berhasil mengidentifikasi peristiwa setoran dan penarikan di jembatan lintas rantai. Dalam serangan ini, peretas berhasil mengontrol kunci pribadi dari empat validator simpul dan validator pihak ketiga, mencapai ambang batas validator jembatan lintas rantai, melakukan serangan dan menarik uang dengan sukses. Dilaporkan bahwa validator pihak ketiga tambahan ini dikelola oleh Axie DAO, tetapi izin daftar putih yang dikeluarkan oleh node pada tahap awal belum dibatalkan. Penyerang dapat memperoleh tanda tangan validator melalui node RPC non-gas.

Saat ini, Ronin sementara meningkatkan ambang batas validator jembatan lintas rantai dari 5 menjadi 8 untuk sementara menghilangkan risiko serangan lebih lanjut. Mulai 6 April, Katana Dex di rantai Ronin telah dibuka kembali.


Jembatan lintas rantai: Tumit Achilles

---

Jembatan lintas rantai dapat mentransfer aset on-chain dari satu blockchain ke blockchain lainnya. Jika blockchain itu sendiri dibandingkan dengan batu bata padat, jembatan lintas rantai adalah "koneksi lunak" antara blockchain dan blockchain. Dengan perkembangan seluruh industri blockchain, berbagai rantai publik yang berbeda muncul tanpa henti. Karena rantai publik ini tidak dapat dioperasikan, jembatan lintas rantai yang dapat berkomunikasi satu sama lain menjadi semakin penting.

Dalam serangan ini, peretas tidak menggunakan celah kontrak pintar untuk menyerang, tetapi menyerang jembatan lintas rantai antara Ronin dan Ethereum. Dan metode serangannya juga relatif primitif, secara langsung mencuri kunci pribadi dari beberapa simpul validasi jembatan lintas rantai. Saat ini, sejumlah besar proyek jembatan lintas rantai menggunakan teknologi multi tanda tangan yang mirip dengan jembatan Ronin, dan proyek ini juga menghadapi risiko peretasan yang serupa. Setelah audit kode yang relatif ketat, keamanan blockchain itu sendiri telah dijamin, dan jembatan lintas rantai dengan TVL yang sangat tinggi telah menjadi "tumit Achilles" yang mengancam keamanan blockchain.

Menurut Dune Analytics, jembatan lintas rantai Ethereum TVL saja telah mencapai $21,06 miliar. Di antara mereka, TVL jembatan Polygon, Avalanche, Arbitrum, Fantom, dan Near cross-chain telah melampaui $1 miliar. Proyek jembatan lintas rantai yang sangat berharga dan mudah diserang ini telah menjadi target serius banyak peretas.


Faktanya, dalam beberapa bulan terakhir, ada banyak serangan peretas terhadap jembatan lintas rantai. Pada 27 Januari 2022, Jembatan Qubit diretas dan sejumlah USD akhirnya ditransfer keluar; Pada tanggal 2 Februari, Jembatan Wormhole juga diretas dan kehilangan $320 juta; Pada tanggal 5 Februari, jembatan lintas rantai lainnya, Jembatan Meter.io kehilangan $4,2 juta ke tangan peretas.


Pada 5 Januari 2022, Vitalik, pendiri Ethereum, menyatakan di Reddit bahwa masa depan blockchain adalah "multi-chain" daripada "cross-chain", dan menekankan masalah keamanan lintas-rantai. Dalam satu blockchain, bahkan dalam kasus terburuk, masih mungkin untuk mengembalikan blockchain ke keadaan semula. Setelah lintas rantai terlibat, masalahnya sulit dipecahkan.


Kesimpulan

---

Keamanan DeFi selalu menjadi kesulitan utama dalam penerapan luas blockchain. Dalam dunia “kode adalah hukum”, jika ada celah dalam aturan, itu akan terlalu buruk. Dengan peningkatan teknologi yang relevan, kami sangat berharap bahwa dunia terdesentralisasi yang lebih aman dapat datang sesegera mungkin.



Penulis: Gate.io Peneliti: Edward H. Penerjemah: Joy Z.
* Artikel ini hanya mewakili pandangan peneliti dan bukan merupakan saran investasi.
*Gate.io memiliki semua hak atas artikel ini. Memposting ulang artikel akan diizinkan asalkan Gate.io dirujuk. Dalam semua kasus lain, tindakan hukum akan diambil karena pelanggaran hak cipta.



Artikel Unggulan Gate.io
Mengapa Jembatan Lintas Rantai Penting
Pencurian TheDAO：Kisah Hard Fork Ethereum Dijelaskan
Aave V3 Diluncurkan, Memimpin Sektor DeFi dengan Kuat