Безпека кроссчейн мосту під мікроскопом: скандальний злом Ronin від Axie Infinity на $620 млн

1. 29 березня, Ronin, сайдчейн найбільшої мережевої гри Axie Infinity, оголосив, що зазнав атаки, яка завдала збитків у розмірі $616 млн і стала найбільшою крадіжкою в історії DeFi.

2. Хакеру вдалося контролювати чотири нода-валідатори та сторонній валідатор мосту Ronin, він зміг досягти порога верифікатора кроссчейн-моста та успішно реалізувати атаку.

3. У цей час ці дуже цінні та легкі в атаці проекти кроссчейн мостів стали жаданою ціллю багатьох хакерів.

4. 5 січня Віталік заявив, що майбутнє блокчейна за мультичейнами, а не за кроссчейнами, і підкреслив, що кроссчейни мають серйозні проблеми з безпекою.

29 березня Ronin, сайдчейн найбільшої мережевої гри Axie Infinity, оголосив, що зазнав атаки, при якій було вкрадено 173 600 ETH і понад 25 млн USDC. Сума збитків Ronin склала близько $616 млн, обігнавши попередній антирекорд у $611 млн у справі про крадіжку Poly Network у серпні минулого року і ставши найбільшою крадіжкою в історії DeFi.

Більше про крадіжку Poly Network можна прочитати у попередній публікації у блозі: Пограбування Poly Network – тривожні дзвіночки у безпеці DeFi.

Джерело: Twitter@Ronin

Згідно з офіційною публікацією Ronin, 23 березня хакери використали зламаний закритий ключ для входу в систему і підробили дві транзакції з виведення коштів для здійснення атаки. Тільки 29 березня, через п'ять днів, офіційні представники проекту виявили, що сталося, коли користувач повідомив, що не може вивести 5000 ETH з кроссчейн-моста. Після крадіжки розробники Ronin негайно зупинили Ronin Bridge та централізовану ончейн-біржу Katana. Крім того, офіційні представники Ronin також заявили, що ця атака показує потенційні проблеми безпеки мосту, а безпека самого блокчейну Ronin, як і раніше, гарантована.

Щойно з'явилися новини про злом, ціни на пов'язані з Ronin активи, включаючи AXS і RON, різко впали.

Деталі хакерської атаки

Axie Infinity на цей час є найпопулярнішою грою на блокчейні, в яку грають понад 10 мільйонів людей у всьому світі. У грі діє режим play-to-earn. Гравці можуть заробляти активи NFT або різні токени під час гри, які на біржі можна обміняти на інші активи, наприклад, wETH та стейблкоіни.

Щоб задовольнити вимоги високочастотної торгівлі реквізитами у грі та знизити витрати на обробку транзакцій, розробники Axie Infinity вирішили не використовувати безпечнішу основну мережу Ethernet, а побудувати власний високопродуктивний сайдчейн Ethernet під назвою Ronin. Крім того, щоб забезпечити високу швидкість транзакцій, Ronin використовує унікальну модель консенсусу Proof-of-Authority (POA), яка має невелику кількість верифікаторів та високий рівень централізації. POA вимагає, щоб ці валідатори мали хорошу "репутацію", яку їм необхідно поставити на кон, щоб стати валідаторами. І якщо верифікатор виявляє ознаки неправомірної поведінки або загрожує безпеці мережі, це негативно позначиться на його репутації.

Джерело: Маркетплейс Axie.

Щоб почати грати в Axie Infinity, вам необхідно завести трьох NFT-домашніх улюбленців. Перші три аксі - це квитки у гру, які необхідно придбати в ігровому магазині. З цієї причини ETH в блокчейні Ethereum необхідно конвертувати в wETH в ланцюжку Ronin. Цей процес здійснюється через спеціальний кроссчейн-міст. Крім того, wETH можна використовувати для покупки Axie в ігровому магазині. Ось де кроссчейн-міст став слабкістю Ronin та лазівкою для цієї хакерської атаки.

Раніше дев'ять нодів-валідаторів разом відповідали за обслуговування кроссчейн-моста. Потрібно було не менше п'яти підписів дев'яти вузлів, щоб успішно ідентифікувати введення та виведення коштів на кроссчейн-мості. У цій атаці хакеру вдалося отримати контроль над закритими ключами чотирьох нодів-валідаторів та стороннього валідатора, досягти порога валідатора кроссчейн-моста, провести атаку та успішно вивести гроші. Повідомляється, що цим додатковим стороннім валідатором управляє Axie DAO, але дозвіл білого списку, виданий вузлом на ранній стадії, ніхто не скасував. Зловмисник зміг отримати підпис валідатора через негазовий RPC вузол.

У цей час Ronin тимчасово збільшив поріг валідатора кроссчейн-мосту з 5 до 8, щоб унеможливити ризик подальших атак. З 6 квітня Katana Dex у мережі Ronin відновила роботу.

Кроссчейн-міст – це Ахіллесова п'ята

За допомогою кроссчейн-моста можна передавати ончейн активи з одного блокчейну в інший. Якщо сам блокчейн порівняти з міцною цеглою, то кроссчейн міст - це "м'який зв'язок" між двома блокчейнами. З розвитком всієї блокчейн промисловості нескінченно утворюється безліч різних громадських мереж. Оскільки ці загальнодоступні мережі несумісні, зростає значення кроссчейн-моста, який допомагає взаємодіяти один з одним.

У цій атаці хакери не використовували вразливість смарт-контракту для атаки, а атакували сам кроссчейн-мост між Ronin та Ethereum. І метод атаки також відносно примітивний. Він безпосередньо краде закриті ключі кількох нодів-валідаторів кроссчейн моста. Зараз велика кількість кроссчейн мостів використовують технологію мультипідпису, аналогічну мосту Ronin, і ці проекти також схильні до аналогічних ризиків злому. Після відносно суворого аудиту коду була підтверджена безпека самого блокчейна, а кроссчейн-мост із надзвичайно високим TVL став свого роду “ахіллесовою п'ятою”, яка загрожує безпеці блокчейну.

За даними Dune Analytics, TVL тільки кроссчейн-моста Ethereum досягла $21,06 млрд. А також TVL мостів Polygon, Avalanche, Arbitrum, Fantom і Near перевищили $1 млрд. Не дивно, що ці дуже цінні кроссчейн-мости, що легко піддаються атаці, стали жаданою мішенню для багатьох хакерів.

Фактично, останніми місяцями було скоєно безліч хакерських атак на міжмережеві мости. 27 січня 2022 Qubit Bridge був зламаний, і була виведена певна сума в доларах США; 2 лютого Wormhole Bridge також було зламано і втрачено $320 млн; 5 лютого інший кроссчейн міст Meter.io Bridge втратив $4,2 доларів, які потрапили до рук хакера.

5 січня 2022 засновник Ethereum Віталік Бутерін заявив на Reddit, що майбутнє блокчейна - це "мультичейни", а не "кросчейни", і підкреслив, що у кроссчейнів є серйозні проблеми з безпекою. В окремому блокчейні навіть у гіршому випадку все ще можна відновити початкове положення, але коли йдеться про кроссчейн, то проблему вирішити важко.

Висновок

Безпека DeFi завжди була серйозною проблемою при широкому застосуванні блокчейну. У світі "кодекс - це закон", якщо в правилах є лазівки, це дуже погано. З покращенням відповідних технологій ми щиро сподіваємось, що незабаром з'явиться безпечніший децентралізований світ.

Автор: дослідник Gate.io Edward H.

*Ця стаття містить лише точку зору дослідників і не є посібником з інвестування.

*Всі права на текст цієї статті належать Gate.io. Репост цієї статті буде дозволено у разі зазначення Gate.io як джерело. В іншому випадку буде переслідуватись юридична відповідальність у зв'язку з порушенням авторських прав.