Hacker draine 622 millions de dollars de la chaîne latérale Ronin Ethereum d'Axie Infinity

En bref

• Ronin, la sidechain Ethereum du jeu NFT Axie Infinity, a été victime d’un exploit de taille
• Au total, quelque 622 millions de dollars d’Ethereum et d’USDC ont été drainés du pont qui relie Ronin au réseau principal d’Ethereum

Ronin, une chaîne latérale Ethereum développée pour le jeu à succès NFT Axie Infinity, a été ciblée dans un piratage qui a vu une valeur estimée à 625 millions de dollars de crypto-monnaie drainée de son pont.

Le développeur Sky Mavis a annoncé la nouvelle aujourd’hui, écrivant que l’exploit a eu lieu le 23 mars mais n’a été découvert que plus tôt dans la journée. L’attaquant a utilisé des « clés privées piratées » pour exécuter l’exploit, selon le rapport de l’équipe, et a ainsi pu falsifier des transactions pour réclamer les fonds.

Au total, l’attaquant a pris 173 600 WETH ou Wrapped Ethereum (près de 597 millions de dollars) et 25,5 millions de stablecoins USDC (25,5 millions de dollars), totalisant environ 622 millions de dollars de fonds cryptographiques au moment de la rédaction de cet article. La plupart des fonds volés se trouvent toujours dans le portefeuille du pirate.

Selon le rapport, l’attaquant a pu signer des transactions à partir de cinq des neuf nœuds de validation actuels sur le réseau Ronin, ce qui est le seuil nécessaire pour approuver les signatures. En fin de compte, l’attaquant a eu accès aux quatre validateurs de Sky Mavis, ainsi qu’à celui exploité par Axie DAO.

« Le schéma de clé du validateur est configuré pour être décentralisé afin de limiter un vecteur d’attaque, similaire à celui-ci, mais l’attaquant a trouvé une porte dérobée via notre nœud RPC sans gaz, dont il a abusé pour obtenir la signature du validateur Axie DAO », lit-on dans le rapport.

« Cela remonte à novembre 2021 lorsque Sky Mavis a demandé l’aide d’Axie DAO pour distribuer des transactions gratuites en raison d’une immense charge d’utilisateurs », poursuit-il. « L’Axie DAO a autorisé Sky Mavis à signer diverses transactions en son nom. Cela a été interrompu en décembre 2021, mais l’accès à la liste d’autorisation n’a pas été révoqué.

Sky Mavis a déclaré avoir fait appel aux forces de l’ordre, aux cryptographes légistes de Chainalysis et à ses propres investisseurs pour « s’assurer que tous les fonds sont récupérés ou remboursés ».

À la suite de la faille de sécurité, Sky Mavis a arrêté le pont qui relie Ronin au réseau principal Ethereum, permettant d’envoyer des fonds et des actifs entre eux, ainsi que l’échange décentralisé Katana (DEX) qui fonctionne sur Ronin.

La société a en outre déclaré que tous les fonds encore sur Ronin, que ce soit dans les jetons AXS et SLP d’Axie Infinity, ou dans le propre jeton de gouvernance RON de Ronin, sont actuellement en sécurité. Sky Mavis a découvert la brèche après que quelqu’un a tenté de retirer 5 000 ETH de ses propres fonds à Ronin et a constaté qu’ils n’étaient pas disponibles via le pont.

Le piratage du pont Ronin semble être similaire à celui de Wormhole, un pont cross-chain Ethereum/Solana qui a été attaqué pour 320 millions de dollars de WETH début février. Jump Crypto a finalement reconstitué les fonds volés, apparemment comme un pari sur l’avenir de l’écosystème Solana.

Le meilleur de Décrypter directement dans votre boîte de réception.

Recevez les meilleures histoires organisées quotidiennement, des résumés hebdomadaires et des plongées profondes directement dans votre boîte de réception.