Ronin Network - REKT
Poly Network a été détrôné de la tête du classement.
Environ 624 millions de dollars ont été volés à Ronin Network.
Sans que quiconque ne s'en aperçoive durant 6 jours.
Quand ils ont fini par s'en rendre compte, l'équipe de Ronin a annoncé que :
Nous avons découvert cette attaque ce matin après qu'un utilisateur nous ait signalé qu'il ne pouvait pas retirer 5k ETH du bridge.
Il est difficile d'imaginer ce qu'a ressenti l'équipe de Ronin lorsqu'elle a découvert que le bridge avait été drainé près d'une semaine plus tôt.
Il s'agit du nouveau plus grand hack de cryptomonnaies jamais réalisé.
Mais l'assaillant pourra-t-il blanchir le butin ?
En raison de la popularité croissante d'Axie Infinity, Ronin a été lancé comme side-chain Ethereum en février 2021 dans le but de fournir un flux de transactions rapide et peu coûteux nécessaire au fonctionnement d'un jeu p2e.
Afin de maximiser les TPS, la décentralisation et le caractère trustless ont été négligés au profit d'un modèle de type Proof of Authority dans lequel seulement neuf validateurs mettent leur réputation en jeu, au lieu d'utiliser un processus de pouvoir ou de fonds.
Sur ces neuf validateurs, un consensus de cinq est nécessaire pour approuver les transactions de dépôt et de retrait.
Quatre des validateurs sont gérés par Sky Mavis, ce qui implique qu'en cas de violation de la sécurité, une seule signature supplémentaire était nécessaire pour contrôler le réseau.
Bien que la Community Alert officielle ne donne pas de détails sur la façon dont les validateurs de Sky Mavis ont été compromis, celle-ci met en évidence la vulnérabilité qui a permis à l'assaillant de prendre le contrôle de la cinquième signature requise.
L'assaillant a pu avoir accès au validateur supplémentaire grâce à un arrangement conclu entre Sky Mavis et Axie DAO en novembre de l'année dernière. Un node RPC gas-free a été mis en place pour alléger les coûts des utilisateurs pendant une période de fort trafic sur le réseau, période pendant laquelle le prix de l'AXS a fait un bond.
Pour ce faire, les validateurs Sky Mavis approuvés par Axie DAO devaient signer des transactions en leur nom.
Bien que l'arrangement n'ait duré que jusqu'au mois suivant, l'accès à la whitelist n'a jamais été révoqué, ce qui a permis à l'assaillant qui avait compromis les validateurs Sky Mavis d'utiliser la signature supplémentaire (Axie DAO) nécessaire pour approuver les transactions.
L'assaillant a ensuite autorisé deux retraits, drainant d'abord 173 600 ETH, puis 25,5M USDC du contrat Ronin Bridge. Les 25,5 millions d'USDC ont été échangés contre des ETH via d'autres adresses avant d'être reversés sur le portefeuille principal.
Peut-être dans le but de rendre la traque plus ardue, 6250 ETH ont été transférés hors du portefeuille, et une partie d'entre eux a depuis été transférée vers FTX et Crypto.com. L'adresse a aussi été initialement financée depuis Binance, mais les comptes KYC's sont faciles à acquérir.
Le reste des fonds demeure dans l'adresse de l'assaillant :
0x098b716b8aaf21512996dc57eb0615e2383e2f96
On se souviendra de ce vol non seulement pour son ampleur, mais aussi pour le manque de vigilance surréaliste dont a fait preuve l'équipe de Ronin.
Il semble impensable que leur infrastructure clé n'ait pas été surveillée, la seule alerte venant d'un utilisateur inquiet quelques jours plus tard.
Dans sa déclaration officielle, Sky Mavis a indiqué que, "à l'avenir, le seuil sera de huit validateurs sur neuf" pour approuver les transactions.
Mais cette mesure a été adoptée près de 11 heures avant l'annonce officielle de l'incident.
Inutile de se précipiter alors que la situation remonte déjà à près d'une semaine...
Bien que la plupart des gens s'accordent sur son importance, la décentralisation est parfois perçue comme un aspect académique, ou une distraction morale de l'adrénaline du trading et de la recherche du profit.
Cette histoire montre l'importance réelle de la décentralisation.
Pourquoi le jeu de validateurs Ronin n'avait-il pas été étendu davantage ?
Comme nous l'avons vu avec l'affaire Wormhole, lorsque des “poches profondes” risquent de subir des pertes, un renflouement ne pose aucun problème.
Axie est considéré comme le leader du marché GameFi : cet incident représente-t-il le même niveau de risque pour tout un écosystème ?
Si oui, qui va renflouer les 624 millions de dollars ?
REKT sert de plateforme publique pour des auteurs anonymes, nous déclinons toute responsabilité quant aux opinions ou contenus hébergés sur REKT.
faites un don (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C
avertissement:
REKT n'est responsable en aucune manière du contenu publié sur notre site Web ou en lien avec nos Services, qu'il soit publié ou occasionné par l'Auteur Anon de notre site Web, ou par REKT. Bien que nous fournissions des règles pour la conduite et les publications de l'Auteur Anon, nous ne contrôlons pas et ne sommes pas responsables de ce que l'Auteur Anon publie, transmet ou partage sur notre site Web ou nos Services, et ne sommes pas responsables de tout contenu offensant, inapproprié, obscène, illégal ou autrement répréhensible que vous pourriez rencontrer sur notre site Web ou nos Services. REKT ne saurait être tenu responsable de la conduite, en ligne ou hors ligne, de tout utilisateur de notre site Web ou de nos services.
vous pourriez aussi aimer...
Big Phish
La génération 2022 de la DeFi a introduit quelques joueurs inattendus. Le FBI a annoncé qu'un collectif de hackers parrainés par l'État nord-coréen (le Lazarus Group) serait responsable de plusieurs hacks en DeFi, dont le plus important - celui de Ronin Network.
Fortress Protocol - REKT
La forteresse est un champ de ruines après que 3M$ aient été volés suite à une manipulation d'oracle et un acte de gouvernance malveillant. L'interface utilisateur est mise en pause, mais les contrats restent actifs. L'écosystème de Fortress renflouera-t-il les utilisateurs pour les fonds perdus ?
MM Finance - REKT
Mad Meerkat Finance (à ne pas confondre avec Meerkat Finance normal) a perdu 2 million de dollars à cause d'un exploit de DNS. Attaques front-end, attaques back-end, quand cela cessera-t-il donc ?