Le piratage de 612 millions de dollars de Ronin expose ces vulnérabilités des ponts inter-chaînes
Depuis un certain temps maintenant, la technologie multi-chaînes ou inter-chaînes est devenue un Saint Graal dans l’espace de développement des crypto-monnaies. Les gens veulent effectuer des transactions avec d’autres blockchains en exploitant des ponts vers différents écosystèmes. Par exemple, le co-fondateur et développeur d’Ethereum, Vitalik Buterin, a tweeté un lien vers une publication Reddit le 8 janvier 2022.
Il a parlé de sa croyance en un avenir multi-chaînes, mais a exprimé des doutes concernant les écosystèmes inter-chaînes. Dans son argumentation, Buterin a cité les «limites de sécurité fondamentales des ponts» comme la principale raison de sa désapprobation d’un environnement inter-chaînes.
Cependant, il ne s’attendait pas à ce que le hoquet survienne de sitôt. Mais notez ceci – à mesure que le volume de crypto-monnaie détenu dans les ponts augmentait, l’incitation à les attaquer aussi.
Depuis lors.
Regarde au loin, Vitalik
Ronin Network, une sidechain basée sur Ethereum créée par Sky Mavis, développeur d’Axie Infinity, est à la mode pour la mauvaise raison. Les pirates ont volé près de 600 millions de dollars de jetons Ethereum et USDC au pont Ronin qui connectaient différentes chaînes de blocs.
Selon un article de blog publié par la sous-stack officielle du réseau Ronin, l’exploit a affecté les nœuds de validation du réseau Ronin pour Sky Mavis, les éditeurs du jeu populaire Axie Infinity, et Axie DAO.
co/ktAp9w5qpP
Selon un communiqué officiel publié mardi, l’attaquant « a utilisé des clés privées piratées pour falsifier de faux retraits » du contrat de pont Ronin dans deux transactions. Selon le billet de blog, la sidechain Ronin se composait de neuf nœuds de validation.
Cinq des neuf signatures du validateur sont requises pour traiter un dépôt ou un retrait. En effet, fait pour prévenir les hacks de cette nature. (Pour le contexte, Ethereum compte environ 300 000 validateurs, tandis que Solana en a plus de 1 000)
Cependant, le billet de blog a ajouté :
« L’attaquant a trouvé une porte dérobée via notre nœud RPC sans gaz. Ils ont abusé pour obtenir la signature du validateur Axie DAO.
Le pont Ronin et Katana Dex ont été arrêtés après avoir subi un exploit pour 173 600 Ethereum (ETH) et 25,5 millions USD Coin (USDC). Au moment de mettre sous presse, cela vaudrait 612 millions de dollars combinés.
Tous les AXS, RON et SLP sur Ronin sont en sécurité pour le moment.
Juste une longueur d’avance ?
Maintenant, voici quelques informations intéressantes sur ce braquage. Cet exploit a eu lieu le 23 mars, découvert seulement une semaine plus tard, lorsqu’un utilisateur n’a pas réussi à retirer 5 000 ETH.
Selon Etherscan, environ 6 250 éthers, soit 21 millions de dollars, ont quitté l’adresse du portefeuille de l’attaquant, dont plusieurs ETH transférés vers FTX Exchange.
co/nYWYC1jJ1J
Selon Wu Blockchain, le dernier exode a eu lieu comme suit :
co/T8OY9VKWeP
Prochaines étapes
L’équipe de Ronin a déclaré qu’elle avait augmenté le nombre minimum de signatures de validateur requises pour un dépôt ou un retrait à huit en réponse à l’incident. Différentes plateformes avaient présenté leur soutien au poste de protocole affecté subissant ce massacre. Par exemple, le PDG de Binance a tweeté :
//t.co/pNU4wwrCAq
Dommages majeurs : Le prix du RON, un jeton utilisé sur la blockchain Ronin, a chuté d’environ 22 % après le piratage. AXS, un jeton utilisé dans Axie Infinity, a chuté d’environ 10,5 % simultanément. Selon les données de Bloomberg, ce piratage s’est classé numéro deux en termes de hacks cryptographiques (évaluation).
Au moment de la publication, la plupart des fonds piratés se trouvent toujours dans le portefeuille de l’attaquant.
