Les conséquences du piratage du pont Ronin de 650 millions de dollars par Axie Infinity
Fin mars, Ronin, une chaîne latérale Ethereum conçue pour le populaire jeu de jetons non fongibles Axie Infinity, a été piraté pour plus de 173 600 Ether (ETH) et 25,5 millions de pièces USD (USDC) pour une valeur combinée de plus de 600 millions de dollars.
La brèche sur le pont Ronin a été confirmée par Sky Mavis, les développeurs du célèbre jeu play-to-earn (P2E) :
co/ktAp9w5qpP
/blockquote>
Le rapport officiel de la société a noté que les pirates ont réussi à accéder aux clés privées des nœuds de validation, ce qui a entraîné la compromission de cinq nœuds de validation, qui est également le seuil requis pour approuver une transaction. La chaîne Ronin se compose actuellement de neuf nœuds de validation et le pirate a réussi à accéder à quatre d’entre eux ainsi qu’à un validateur tiers géré par l’organisation autonome décentralisée (DAO) Axie DAO.
La cause première de l’exploit remonte à l’année dernière, lorsque Axie DAO a donné accès à Sky Mavis pour signer les transactions en son nom afin de réduire le volume d’utilisateurs. Cependant, cet accès n’a jamais été révoqué, ce qui a finalement conduit à un accès détourné par des pirates, ce qui a entraîné des piratages de 600 millions de dollars.
L’exploit a eu lieu le 23 mars, pour être découvert près d’une semaine plus tard après que les pirates à l’origine de l’attaque ont utilisé les fonds volés pour court-circuiter Axie Infinity (AXS) et Ronin (RON). Les hackers espéraient gagner plus d’argent grâce à leur exploit, pensant que la nouvelle du plus gros hack de crypto finirait par faire chuter le marché, cependant, ils ont été liquidés avant que la nouvelle n’éclate :
Tu ne peux pas inventer ça
Hacker vole 600 millions de dollars en ETH à la blockchain Ronin, celle sous-jacente à Axie
Hacker va alors court Ronin & AXS (jeton Axie) sachant dès que les nouvelles sont diffusées que les jetons vont chuter
Mais PERSONNE ne le remarque et ils sont liquidés peu avant les nouvelles
/blockquote>
Le pont de Ronin a été fermé dans la foulée, tous les dépôts et retraits étant interrompus jusqu’à la fin de l’enquête et cela peut prendre plusieurs semaines avant que le pont ne soit à nouveau ouvert au public. Les développeurs derrière le jeu ont depuis demandé l’aide de divers échanges cryptographiques et du groupe d’analyse cryptographique Chainalysis pour suivre le mouvement des fonds et les récupérer.
Sky Mavis a exclu les vulnérabilités techniques comme cause principale de l’exploit et l’a imputé à l’ingénierie sociale. Les développeurs ont également promis de rembourser et de récupérer les fonds volés :
a déclaré le co-fondateur et directeur de l’exploitation d’Axie Infinity. Aleksander Léonard Larsen.
Blanchiment et remboursement
L’exploit sur le pont Ronin était assez similaire à ce qui s’est passé sur le pont Wormhole pour Solana, où les exploiteurs ont réussi à s’en tirer avec 320 millions de dollars de fonds cryptographiques de la plate-forme cross-bridge. Plus tard en février, Jump Crypto – une société de capital-risque – a renfloué les utilisateurs exploités et reconstitué 120 000 ETH.
Sky Mavis avait fait une promesse similaire à la suite de l’exploit, affirmant qu’ils veilleraient à ce que les utilisateurs concernés soient remboursés même si les fonds perdus ne sont pas récupérés. Le 6 avril, les créateurs du jeu populaire ont levé 150 millions de dollars grâce à l’échange crypto Binance et à d’autres investisseurs.
Un porte-parole de Sky Mavis a déclaré à Cointelegraph :
«Sur le montant total volé, environ 400 millions de dollars appartiennent aux utilisateurs. Le nouveau cycle, combiné aux fonds de bilan Sky Mavis et Axie, garantira le remboursement de tous les utilisateurs. Les 56 000 ETH compromis de la trésorerie d’Axie DAO resteront sous-garantis alors que Sky Mavis travaille avec les forces de l’ordre pour récupérer les fonds. Si les fonds volés ne sont pas entièrement récupérés dans les deux ans, le DAO d’Axie votera sur les prochaines étapes pour la trésorerie.
Beaucoup dans le monde de la cryptographie espéraient que, comme l’exploiteur du réseau Poly, le pirate derrière l’exploit Ronin Bridge finirait par rendre les fonds volés, car il est assez difficile de blanchir une somme d’argent aussi élevée. Cependant, il n’y a eu aucune preuve d’une telle communication entre les développeurs de jeux et les pirates et la société a refusé de commenter l’état de ces communications.
Elliptic, une société d’analyse de données cryptographiques, a retrouvé 540 millions de dollars des fonds volés et pense que les pirates ont déjà commencé à blanchir l’argent. Tout d’abord, l’USDC volé a été échangé contre des ETH sur des bourses décentralisées (DEX) afin d’éviter qu’il ne soit gelé.
les pirates ont commencé à blanchir l’ETH via trois échanges centralisés.
Le portefeuille appartenant aux pirates du pont Ronin a également commencé à envoyer des fonds à des services de mixage de devises tels que Tornado Cash. Il convient de noter que l’exploiteur de Poly Network a fait de même au début mais a finalement décidé de restituer les fonds car le blanchiment d’une somme aussi importante devenait de plus en plus difficile. Selon un rapport de PeckShield, les pirates ont blanchi environ 42 millions de dollars de fonds, soit environ 7,5 % du total.
Le plus difficile est de planifier suffisamment à l’avance pour s’assurer que l’encaissement des fonds réussisse. De plus, plus le piratage est important, plus il est peu probable que les pirates puissent s’enfuir avec tous les fonds », a déclaré Jonah Michaels, responsable des communications chez Immunefi, une plate-forme de primes de bogues Web3.
Ce piratage aurait-il pu être évité ?
Bien que toutes les blockchains ne soient pas égales, elles sont toutes établies sur le principe de la décentralisation, qui garantit que le pouvoir et la sécurité ne sont pas concentrés entre les mains d’une seule entité. Le besoin de décentralisation est mis en évidence par cet énorme hack sur Ronin. Lors de la conception de systèmes pour le public dans le but de distribuer l’énergie et la sécurité, cela doit être juste cela : distribué. L’utilisation de neuf validateurs, dont quatre sont contrôlés par une seule partie, s’est avérée peu sûre.
Alors que les créateurs du jeu affirment que l’exploit n’a pas eu lieu en raison de lacunes techniques, le fait que les pirates aient réussi à exploiter et à obtenir une porte dérobée sur l’un de leurs nœuds de validation parce que les développeurs ont oublié de révoquer l’accès au troisième validateur de partie met certainement en évidence un certain niveau de centralisation dans le processus d’approbation du validateur. Cela est finalement devenu la raison de la perte de 600 millions de dollars d’actifs cryptographiques.
Pour un jeu comme Axie Infinity avec une valorisation de 4 milliards de dollars et une base d’utilisateurs allant en millions, les développeurs auraient certainement pu faire mieux avec la sécurité cross-bridge, en particulier lorsque les plates-formes cross-bridge ont été à la réception de certains des plus grands crypto cambriolages au cours des deux dernières années.
Jean-Paul Faraq, responsable de la communauté et des partenariats de Unstoppable Games, a déclaré à Cointelegraph :
« Axie et leur blockchain Ronin ont clairement de bonnes intentions et une grande vision. En effet, compte tenu de l’état de la mise à l’échelle d’Ethereum lors de la construction de Ronin, vous pouvez affirmer que c’était le bon choix à l’époque, mais ils disposaient également des fonds nécessaires pour explorer des mesures solides afin de garantir une meilleure protection de leur blockchain. Ils examineront sûrement longuement comment s’améliorer et sortiront probablement de l’autre côté avec un produit plus robuste.
Les développeurs du jeu ont promis d’augmenter le nombre de nœuds de validation de neuf à 21 au cours du prochain trimestre. Ils ont également assuré que si les fonds volés ne sont pas récupérés dans les deux ans, l’Axie DAO voterait les prochaines étapes pour sa trésorerie.
