Безопасность кроссчейн моста под микроскопом: скандальный взлом Ronin от Axie Infinity на $620 млн

1. 29 марта, Ronin, сайдчейн крупнейшей сетевой игры Axie Infinity, объявил, что подвергся атаке, которая принесла убытки в размере $616 млн и стала крупнейшей кражей в истории DeFi.

2. Хакеру удалось контролировать четыре нода-валидатора и сторонний валидатор моста Ronin, он смог достичь порога верификатора кроссчейн-моста и успешно реализовать атаку.

3. В настоящее время эти очень ценные и легкие в атаке проекты кроссчейн мостов стали желанной целью многих хакеров.

4. 5 января Виталик заявил, что будущее блокчейна за мультичейнами, а не за кроссчейнами, и подчеркнул, что у кроссчейнов есть серьёзные проблемы с безопасностью.

29 марта Ronin, сайдчейн крупнейшей сетевой игры Axie Infinity, объявил, что подвергся атаке, при которой было украдено 173 600 ETH и более 25 млн USDC. Сумма убытков Ronin составила около $616 млн, обогнав предыдущий антирекорд в $611 млн в деле о краже Poly Network в августе прошлого года и став крупнейшей кражей в истории DeFi.

Больше о краже Poly Network можно прочитать в предыдущей публикации в блоге: Ограбление Poly Network — тревожные звоночки в безопасности DeFi.

Источник: Twitter@Ronin

Согласно официальной публикации Ronin, 23 марта хакеры использовали взломанный закрытый ключ для входа в систему и подделали два ложных вывода средств для осуществления атаки. Только 29 марта, пять дней спустя, официальные представители проекта обнаружили что произошло, когда пользователь сообщил, что не может вывести 5000 ETH с кроссчейн-моста. После кражи разработчики Ronin немедленно остановили Ronin Bridge и централизованную ончейн биржу Katana. Кроме того, официальные лица Ronin также заявили, что эта атака показывает потенциальные проблемы безопасности моста, а безопасность самого блокчейна Ronin по-прежнему гарантирована.

Как только появились новости о взломе, цены на связанные с Ronin активы, включая AXS и RON, резко упали.

Детали хакерской атаки

Axie Infinity в настоящее время является самой популярной игрой на блокчейне, в которую играют более 10 миллионов человек по всему миру. В игре действует режим play-to-earn. Игроки могут зарабатывать активы NFT или различные токены во время игры, которые на бирже можно обменять на другие активы, например, wETH и стейблкоины.

Чтобы удовлетворить требования высокочастотной торговли реквизитами в игре и снизить затраты на обработку транзакций, разработчики Axie Infinity решили не использовать более безопасную основную сеть Ethernet, а построить собственный высокопроизводительный сайдчейн Ethernet под названием Ronin. Кроме того, чтобы обеспечить высокую скорость транзакций, Ronin использует уникальную модель консенсуса Proof-of-Authority (POA), которая имеет небольшое количество верификаторов и высокую степень централизации. POA требует, чтобы эти валидаторы имели хорошую “репутацию”, которую им необходимо поставить на кон, чтобы стать валидаторами. И если верификатор проявляет признаки неправомерного поведения или угрожает безопасности сети, это отрицательно скажется на его “репутации”.

Источник: Маркетплейс Axie.

Чтобы начать играть в Axie Infinity, вам необходимо завести трех NFT-питомцев. Первые три Акси — это билеты в игру, которые необходимо приобрести в игровом магазине. По этой причине ETH в блокчейне Ethereum необходимо конвертировать в wETH в цепочке Ronin. Этот процесс осуществляется через специальный кроссчейн-мост. Кроме того, wETH также можно использовать для покупки Axie в игровом магазине. Вот где кроссчейн-мост стал слабостью Ronin и лазейкой для этой хакерской атаки.

Ранее в общей сложности девять нодов-валидаторов совместно отвечали за обслуживание кроссчейн-моста. Требовалось не менее пяти подписей девяти узлов, чтобы успешно идентифицировать ввод и вывод средств на кроссчейн-мосте. В этой атаке хакеру удалось получить контроль над закрытыми ключами четырех нодов-валидаторов и стороннего валидатора, достичь порога валидатора кроссчейн-моста, провести атаку и успешно вывести деньги. Сообщается, что этим дополнительным сторонним валидатором управляет Axie DAO, но разрешение белого списка, выданное узлом на ранней стадии, никто не отменил. Злоумышленник смог получить подпись валидатора через негазовый RPC-узел.

В настоящее время Ronin временно увеличил порог валидатора кроссчейн-моста с 5 до 8, чтобы исключить риск дальнейших атак. С 6 апреля Katana Dex в сети Ronin возобновила работу.

Кроссчейн-мост – это Ахиллесова пята

С помощью кроссчейн-моста можно передавать ончейн активы из одного блокчейна в другой. Если сам блокчейн сравнить с прочным кирпичом, то кроссчейн мост — это “мягкая связь” между двумя блокчейнами. С развитием всей блокчейн индустрии бесконечно появляется множество различных публичных сетей. Поскольку эти общедоступные сети несовместимы, возрастает значение кроссчейн-моста, который помогает им взаимодействовать друг с другом.

В этой атаке хакеры не использовали уязвимость смарт-контракта для атаки, а атаковали сам кроссчейн-мост между Ronin и Ethereum. И метод атаки также относительно примитивен. Он напрямую крадет закрытые ключи нескольких нодов-валидаторов кроссчейн моста. В настоящее время большое количество кроссчейн мостов используют технологию мультиподписи, аналогичную мосту Ronin, и эти проекты также подвержены аналогичными рисками взлома. После относительно строгого аудита кода была подтверждена безопасность самого блокчейна, а кроссчейн-мост с чрезвычайно высоким TVL стал своего рода “ахиллесовой пятой”, которая угрожает безопасности блокчейна.

По данным Dune Analytics, TVL только кроссчейн-моста Ethereum достигла $21,06 млрд. А также TVL мостов Polygon, Avalanche, Arbitrum, Fantom и Near превысили $1 млрд. Не удивительно, что эти очень ценные и легко атакуемые кроссчейн-мосты стали серьезной мишенью для многих хакеров.

Фактически, в последние месяцы было совершено множество хакерских атак на межсетевые мосты. 27 января 2022 года Qubit Bridge был взломан, и была выведена определенная сумма в долларах США; 2 февраля Wormhole Bridge также был взломан и было утеряно $320 млн; 5 февраля другой кроссчейн мост Meter.io Bridge потерял $4,2 долларов, которые попали в руки хакера.

5 января 2022 года основатель Ethereum Виталик Бутерин заявил на Reddit, что будущее блокчейна — это “мультичейны”, а не “ккроссчейны”, и подчеркнул, что у кроссчейнов есть серьёзные проблемы с безопасностью. В отдельном блокчейне даже в худшем случае всё ещё возможно восстановить исходное положение, но когда речь идёт о кроссчейне, то проблему решить трудно.

Вывод

Безопасность DeFi всегда была серьезной проблемой при широком применении блокчейна. В мире “кодекс — это закон”, если в правилах есть лазейки, то это очень плохо. С улучшением соответствующих технологий мы искренне надеемся, что скоро появится более безопасный децентрализованный мир.

Автор: исследователь Gate.io Edward H.

*Эта статья содержит только точку зрения исследователей и не является руководством по инвестированию.

*Все права на текст данной статьи принадлежат Gate.io. Репост данной статьи будет разрешен в случае указания Gate.io как источник. В противном случае будет преследоваться юридическая ответственность в связи с нарушением авторских прав.