Разработчики задействованного в блокчейн-игре Axie Infinity сайдчейна Ronin раскрыли дополнительные детали взлома, повлекшего кражу криптоактивов стоимостью более $600 млн. Команда также рассказала о мерах, направленных на повышение безопасности проекта.
We have put together a postmortem regarding the Ronin exploit that occurred on March 23rd.• Why it happened• What we're doing to make sure this never happens again• Ronin bridge re-opening updatehttps://t.co/FfwCtCG84E— Ronin (@Ronin_Network) April 27, 2022
23 марта 2022 года Ronin был взломан — хакер вывел из кроссчейн-моста проекта 173 600 ETH и 25,5 млн USDC.
В результате фишинговой атаки на одного из сотрудников Sky Mavis (стоит за разработкой Axie Infinity) злоумышленнику удалось получить доступ и инфраструктуре компании и валидаторам Ethereum-сайдчейна.
На тот момент Sky Mavis контролировала четыре из девяти валидаторов — этого было недостаточно для несанкционированного вывода средств. Однако связанный с безгазовой RPC-нодой Ronin эксплойт позволил хакеру завладеть подписью валидатора Axie DAO.
«Это связано с инцидентом, произошедшим в ноябре 2021 года, когда Sky Mavis обратилась за помощью к Axie DAO, чтобы распределить безгазовые операции из-за огромной пользовательской нагрузки. Axie DAO позволила Sky Mavis подписывать транзакции от своего имени. От этой практики отказались в декабре 2021 года, но доступ не был отозван», — пояснили разработчики.
Команда подчеркнула, что уязвимость закрыли путем включения двух дополнительных валидаторов. В течение следующих трех месяцев их число увеличат до 21, в долгосрочной перспективе — до 100 узлов.
По словам разработчиков, они не смогли вовремя заметить атаку, поскольку Ronin обладал слабой системой мониторинга крупных оттоков с адреса кроссчейн-моста. Чтобы устранить этот пробел, команда привлекла CrowdStrike, Polaris Infosec и другие компании, ориентированные на безопасность.
Разработчики также заявили, что их целью является внедрение архитектуры нулевого доверия. Последняя предполагает, что Sky Mavis всегда подвержена внешним и внутренним угрозам, поэтому проверяет и авторизует каждое соединение.
Команда отметила, что работает над запуском Ronin Bridge и рассчитывает открыть кроссчейн-мост в середине или конце мая.
Напомним, в апреле 2022 года Sky Mavis запустила баунти-программу для поиска уязвимостей. Размер награды за найденные ошибки в блокчейне и смарт-контрактах составляет от $1000 до $1 млн в зависимости от серьезности.
