Разработчики сайдчейна Ronin раскрыли дополнительные детали взлома на $625 млн

Разработчики задействованного в блокчейн-игре Axie Infinity сайдчейна Ronin раскрыли дополнительные детали взлома, повлекшего кражу криптоактивов стоимостью более $600 млн. Команда также рассказала о мерах, направленных на повышение безопасности проекта. 

We have put together a postmortem regarding the Ronin exploit that occurred on March 23rd.

• Why it happened
• What we're doing to make sure this never happens again
• Ronin bridge re-opening updatehttps://t.co/FfwCtCG84E

— Ronin (@Ronin_Network) April 27, 2022

23 марта 2022 года Ronin был взломан — хакер вывел из кроссчейн-моста проекта 173 600 ETH и 25,5 млн USDC. 

В результате фишинговой атаки на одного из сотрудников Sky Mavis (стоит за разработкой Axie Infinity) злоумышленнику удалось получить доступ и инфраструктуре компании и валидаторам Ethereum-сайдчейна.

На тот момент Sky Mavis контролировала четыре из девяти валидаторов — этого было недостаточно для несанкционированного вывода средств. Однако связанный с безгазовой RPC-нодой Ronin эксплойт позволил хакеру завладеть подписью валидатора Axie DAO. 

«Это связано с инцидентом, произошедшим в ноябре 2021 года, когда Sky Mavis обратилась за помощью к Axie DAO, чтобы распределить безгазовые операции из-за огромной пользовательской нагрузки. Axie DAO позволила Sky Mavis подписывать транзакции от своего имени. От этой практики отказались в декабре 2021 года, но доступ не был отозван», — пояснили разработчики.

Команда подчеркнула, что уязвимость закрыли путем включения двух дополнительных валидаторов. В течение следующих трех месяцев их число увеличат до 21, в долгосрочной перспективе — до 100 узлов. 

По словам разработчиков, они не смогли вовремя заметить атаку, поскольку Ronin обладал слабой системой мониторинга крупных оттоков с адреса кроссчейн-моста. Чтобы устранить этот пробел, команда привлекла CrowdStrike, Polaris Infosec и другие компании, ориентированные на безопасность.

Разработчики также заявили, что их целью является внедрение архитектуры нулевого доверия. Последняя предполагает, что Sky Mavis всегда подвержена внешним и внутренним угрозам, поэтому проверяет и авторизует каждое соединение. 

Команда отметила, что работает над запуском Ronin Bridge и рассчитывает открыть кроссчейн-мост в середине или конце мая.

Напомним, в апреле 2022 года Sky Mavis запустила баунти-программу для поиска уязвимостей. Размер награды за найденные ошибки в блокчейне и смарт-контрактах составляет от $1000 до $1 млн в зависимости от серьезности.