Как мы уже писали на нашем канале, хакеры взломали сайдчейн Ronin, который использует крупнейшая блокчейн-игра Axie Infinity — умельцы смогли вывести 173 600 ETH и 25 млн USDC, а общая сумма ущерба составила $625 млн. При этом, по словам экспертов, взлом совершили ещё 23 марта, но представители проекта узнали об этом только 29 марта, когда один из пользователь не смог вывести 5000 ETH.
Почему это произошло? Ответ очень прост — полная централизация.
Вся защита Ronin была основана всего на девяти валидаторах, естественно, чтобы использовать сайдчейн, нужно было активировать пять из девяти ключей — хакеру удалось получить доступ к четырём валидаторам, принадлежащим компании Sky Mavis, которая и является владельцем Ronin. А пятый валидатор дело техники — злоумышленник смог извлечь ключ из сторонней базы данных с помощью удалённого вызова процедур (RPC).
Только вдумайтесь, это крупнейшая в мире игра на блокчейне, а почти половину валидаторов держит одна компания. Разве это децентрализация? Не может нормальный сервис, который якобы работает на блокчейне и типа децентрализован, предоставлять подобные уязвимости для хакеров.
Что в итоге? Представители Sky Mavis конечно указали адрес, на котором содержится большая часть похищенных средств, а Etherscan пометил его, как «причастный ко взлому Ronin bridge». Но кому от этого легче?
Наступила эпоха настоящих блокчейнов — все сервисы, написанные на коленке, рано или поздно взломают. На этот раз пострадали пользователи Axie Infinity. Кто следующий?
Источник: DeCenter