Un hacker a vol plus de 600 millions de dollars Ronin, la blockchain derrire le jeu NFT Axie Infinity, ce qui en fait la plus grande attaque contre une plateforme de finance dcentralise

Environ 625 millions de dollars de crypto-monnaie ont t vols Ronin, la blockchain sous-jacente au jeu crypto populaire Axie Infinity. L’oprateur Ronin et Axie Infinity, Sky Mavis, a rvl la brche mardi 29 mars et a gel les transactions sur le pont Ronin, qui permet de dposer et de retirer des fonds de la blockchain de l’entreprise.

Sky Mavis a indiqu qu’il travaille avec les forces de l’ordre pour rcuprer 173 600 Ethereum (d’une valeur actuelle d’environ 609 millions de dollars) et 25,5 millions d’USDC (une crypto-monnaie indexe sur le dollar amricain) auprs du coupable, qui l’a retir du rseau le 23 mars. L’attaque s’est concentre sur le pont vers la blockchain Ronin de Sky Mavis, un intermdiaire entre Axie Infinity et d’autres blockchains de crypto-monnaie comme Ethereum. Les utilisateurs peuvent dposer Ethereum ou USDC auprs de Ronin, puis acheter des jetons non fongibles ou de la monnaie du jeu, ou ils peuvent vendre leurs actifs dans le jeu et retirer l’argent.

Il y a eu une faille de scurit sur le rseau Ronin. Plus tt dans la journe, nous avons dcouvert que le 23 mars, les nuds de validation Ronin de Sky Mavis et les nuds de validation Axie DAO ont t compromis, ce qui a entran la fuite de 173 600 Ethereum et 25,5 millions USDC du pont Ronin en deux transactions. L’attaquant a utilis des cls prives pirates afin de falsifier de faux retraits. Nous avons dcouvert l’attaque ce matin aprs un rapport d’un utilisateur incapable de retirer 5k ETH du pont .

Selon Sky Mavis, un attaquant a utilis des cls de scurit prives pirates pour compromettre les nuds du rseau qui valident les transferts vers et depuis la blockchain Ronin. Cela a permis l’attaquant de retirer discrtement de grandes quantits d’Ethereum et d’USDC. Le transfert a t dcouvert le 29 mars, soit prs d’une semaine plus tard, lorsqu’un autre utilisateur a tent de retirer 5 000 Ethereum via le pont.

En savoir plus sur Axie Infinity

Pour comprendre la nature de cette violation, parcourons les grandes lignes de l’histoire d’Axie Infinity et du rseau complexe de normes et de technologies cryptographiques qui ont permis l’exploit de se produire.

Axie Infinity a t cit comme l’une des premires russites du jeu dit blockchain. Ces jeux utilisent des protocoles dcentraliss pour suivre la proprit de certains lments du jeu et permettent gnralement aux joueurs d’avoir un certain contrle sur la revente de ces lments.

Pour jouer Axie Infinity, les joueurs doivent acheter au moins trois NFT d’Axies (des cratures un peu la Pokemon qui servent pendant les combats) jouables dans le jeu sur le march libre (ou les emprunter aux propritaires). Jouer avec ces Axies rapporte ensuite aux joueurs des Smooth Love Potions (SLP), qui peuvent tre utilis sur les Axies pour en crer d’autres ou tre vendues d’autres joueurs comme marchandise.

Alors comment les joueurs gagnent de l’argent si le jeu est gratuit au tlchargement ? Le jeu repose sur la technologie de la blockchain qui indique le nombre d’Axies en circulation. Mme si grce aux SLP le nombre d’Axies augmente, un instant T il y a un nombre limit d’Axies. titre d’illustration, s’il y a 100 Axies en circulation et 200 nouveaux joueurs qui veulent jouer, ils ne pourront pas tous avoir leur quipe d’Axies (il en faut au moins 3), ce qui cre donc une offre et une demande, par consquent une fluctuation de prix. Une fois que vous avez achet les Axies (s’il vous appartiennent, cela sera visible sur la blockchain), vous pourrez les revendre. Il en est de mme pour les potions SLP qui sont limites dans le temps T, ce qui cre de la raret numrique. Les joueurs peuvent galement dcider de les revendre.

Bien entendu, ce ne sont pas les dveloppeurs qui fixent les prix et encore moins qui encaisse l’argent; ils prennent une commission de 4,25 % sur les ventes.

La vido ci-dessous est plus explicative (au moment du montage, l’Axie le moins cher cotait 311 dollars – la vido date de l’anne dernire, depuis le prix a drastiquement chut) :

L’anne dernire, il y avait suffisamment de battage mdiatique et d’argent dans ce systme et des mdias ont rapport que certains joueurs dans des pays comme les Philippines ont pu gagner un salaire local dcent simplement en jouant au jeu comme travail plein temps. Mais ce succs prcoce a aid attirer davantage de joueurs qui espraient monter dans le train du jeu pour gagner de l’argent et on inond le march de SLP.

Avec peu de nouveaux acheteurs venant acheter tous ces SLP, la valeur des potions (en dollars) a chut d’environ 80% depuis dbut novembre et de 95% depuis son pic de mai dernier, selon CoinGecko. Comme la valeur du SLP a drastiquement chut, il en va de mme pour le nombre de joueurs actifs quotidiens d’Axie Infinity et le nombre de nouveaux joueurs achetant de nouveaux Axies.

1649115692 686 Un hacker a vole plus de 600 millions de dollars

1649115693 867 Un hacker a vole plus de 600 millions de dollars

La faille

Alors qu’Axie Infinity fonctionnait l’origine directement sur la blockchain Ethereum, les cots de transaction levs et les vitesses de transaction lentes sur ce rseau sont rapidement devenus intenables mesure que le jeu se dveloppait. Pour contourner ces frais, Sky Mavis en 2020 a commenc utiliser une sidechain – une blockchain prive parallle fonctionnant au-dessus d’Ethereum qui pourrait contourner la ncessit de payer les frais d’essence Ethereum pour chaque transaction. Les frais d’essence (gas fees en Anglais) sont les commissions que l’on verse au mineur qui effectue la validation d’une transaction donne. Par dfaut, ce prix du gas est exprim en GWei ou giga-weis, le weis tant la plus petite unit de ETH (Ethereum).

Sky Mavis s’est initialement associ Loom Networks pour cette fonctionnalit de sidechain. En mars 2020, cependant, la socit a rompu ce partenariat et a introduit sa propre chane latrale appele Ronin.

Contrairement la blockchain Ethereum de preuve de travail distribue, la chane latrale Ronin fonctionne sur un systme de preuve d’autorit beaucoup plus centralis. Plutt que de consulter l’ensemble du rseau de blockchain distribu pour confirmer les transactions, ce systme de preuve d’autorit excute ses transactions via un petit ensemble de nuds validateurs de confiance et tris sur le volet. Chaque nud mise une partie de sa rputation sur la validation de chaque transaction, punissant thoriquement les acteurs isols qui tentent de djouer le systme.

Les changes centraliss comme Binance et les changes dcentraliss comme Katana permettent aux utilisateurs un pont pour transfrer leurs actifs dans le jeu entre Ronin et la principale blockchain Ethereum. Mais parce que ces transferts peuvent se produire plus occasionnellement et grande chelle, les cots de transaction finissent par tre beaucoup plus bas.

Le systme de preuve d’autorit de Ronin, centralis dans seulement neuf nuds de validation, est la cl de sa capacit fournir un volume de transactions plus lev un cot bien infrieur celui du vaste rseau Ethereum. Cela a galement fini par tre le point faible de Ronin, dans ce cas.

Comme l’explique Sky Mavis, l’attaquant inconnu a pu pntrer les systmes de Sky Mavis et obtenir un accs complet quatre nuds de validation contrls par l’entreprise. L’attaquant a ensuite pu utiliser une porte drobe restante dans ces nuds pour prendre le contrle d’un autre validateur contrl par le DAO Axie dcentralis.

Avec ce cinquime nud de validation, l’attaquant pourrait alors fournir une majorit de signatures de validation sur toute transaction qu’il souhaite, entranant des transferts frauduleux.

La chane Ronin de Sky Mavis se compose actuellement de 9 nuds de validation. Afin de reconnatre un vnement de dpt ou un vnement de retrait, cinq des neuf signatures du validateur sont ncessaires. L’attaquant a russi prendre le contrle des quatre validateurs Ronin de Sky Mavis et d’un validateur tiers gr par Axie DAO.

Le schma de cl du validateur est configur pour tre dcentralis afin de limiter un vecteur d’attaque, similaire celui-ci, mais l’attaquant a trouv une porte drobe via notre nud RPC gas-free, dont il a abus pour obtenir la signature du validateur Axie DAO.

Cela remonte novembre 2021 lorsque Sky Mavis a demand l’aide d’Axie DAO pour distribuer des transactions gratuites en raison d’une immense charge d’utilisateurs. L’Axie DAO a autoris Sky Mavis signer diverses transactions en son nom. Cela a t interrompu en dcembre 2021, mais l’accs la liste d’autorisation n’a pas t rvoqu.

Une fois que l’attaquant a eu accs aux systmes Sky Mavis, il a pu obtenir la signature du validateur Axie DAO en utilisant le RPC gas-free.

Nous avons confirm que la signature des retraits malveillants correspond aux cinq validateurs prsums .

Sky Mavis a dclar qu’il augmentera le nombre de nuds requis huit pour les transactions.

Comme nous l’avons vu, Ronin n’est pas l’abri d’une attaque et celle-ci a renforc l’importance de donner la priorit la scurit, de rester vigilant et d’attnuer toutes les menaces , a dclar la socit dans son annonce. Nous savons que la confiance doit tre gagne et nous utilisons toutes les ressources notre disposition pour dployer les mesures et processus de scurit les plus sophistiqus afin de prvenir de futures attaques .

Sky Mavis a dclar que tous les jetons d’utilisateur sur le rseau Ronin sont en scurit en ce moment et que la socit travaille avec les responsables des forces de l’ordre, des experts en cryptographie et nos investisseurs pour s’assurer que tous les fonds sont rcuprs ou rembourss . Pour l’instant, cependant, les utilisateurs lgitimes ne peuvent pas retirer ou dposer des fonds vers ou depuis le rseau Ronin sur Katana (Binance pour sa part a repris les transactions le 2 avril). Le pont sera ouvert une date ultrieure une fois que nous serons certains qu’aucun fonds ne pourra tre drain , a dclar la socit.

DeFiYield tient une liste des attaques contre les plateformes DeFi, qui classe l’attaque contre Ronin comme la plus importante, juste devant Poly Network (602 millions de dollars de perte). Whormhole, qui est entr dans le classement en fvrier suite au piratage lui ayant fait perdre 320 millions de dollars, a perdu un rang dans le classement et est dsormais la troisime plateforme DeFi avoir subi la plus grosse perte.

1649115693 422 Un hacker a vole plus de 600 millions de dollars

Sources : Ronin, march des SLP, Axie Infinity (AXS), DefiYield (les plateformes DeFi ayant subi les plus grosses pertes)

Et vous ?

Les cryptomonnaies sont elles une gigantesque chaine de Ponzi Elles votre avis, NFT et cryptomonnaies font-ils bon mnage dans les jeux vido ? Dans quelle mesure ?

Voir aussi :

Les cryptomonnaies sont elles une gigantesque chaine de Ponzi Elles Wormhole se fait voler 320 millions de dollars d’ther et propose aux hackers une prime de 10 millions de dollars en change des fonds drobs et des dtails sur la vulnrabilit exploite

Les cryptomonnaies sont elles une gigantesque chaine de Ponzi Elles Des joueurs de jeux vido en colre font pression sur les diteurs pour qu’ils abandonnent les projets de NFT, qu’ils considrent comme un outil d’escroquerie

Les cryptomonnaies sont elles une gigantesque chaine de Ponzi Elles Qubit Finance se fait voler 80 millions de dollars en crypto et propose une prime de 250 000 dollars au hacker en change des fonds vols

Les cryptomonnaies sont elles une gigantesque chaine de Ponzi Elles UK : les grandes entreprises de la tech devraient rembourser les victimes d’escroqueries en ligne ds lors que des cybercriminels attirent leurs victimes par des pubs diffuses sur leurs plateformes

We want to thank the writer of this short article for this incredible content

Un hacker a vol plus de 600 millions de dollars Ronin, la blockchain derrire le jeu NFT Axie Infinity, ce qui en fait la plus grande attaque contre une plateforme de finance dcentralise

Check out our social media accounts as well as other pages that are related to them.https://metfabtech.com/related-pages/