Axie Infinity
Axie Infinity

以一邊遊戲、一邊賺取加密幣而爆紅的網路遊戲 Axie Infinity,其側鏈服務 Ronin Network 發新聞稿確認被駭,有 173,600 個以太幣 ETH 和 2,550 萬個美元穩定幣 USDC 被盜去,等值近 6 億美元之多。Ronin Network 也有詳細解說被駭的始末,讓大家可以更了解這宗大型盜竊案。

Ronin Network 表示,他們發現駭客是首先透過在其中一個由 Axie DAO 營運的 RPC 節點裡的後門程式,獲取了簽名檔。同時在用以驗證交易的 9 個節點之中,再成功操縱了其中 5 個(4 個是 Ronin Validators,一個是 Axie DAO),並於 3 月 23 日發起虛構的交易要求,以兩次轉帳就掏走了等值 6 億美元的資產。

對於這個後門的存在,Ronin Network 解釋是他們母公司 Sky Mavis 在 2021 年 11 月因應有大量用戶載入,求助 Axie DAO 協助處理交易,並因此建立了連接雙方服務的 Ronin Bridge 橋接機制。然而在合作在 2021 年 12 月完結後,卻沒有把橋接授權撤銷,所以就產生了這樣一個漏洞。

駭客盜走資產後近一星期後,才有用戶發現無法在 Ronin Network 轉走 5,000 個 ETH 而揭發出,官方表示已經追蹤到被盜加密資產所在的錢包位址,目前已經聯絡執法部門、Chainalysis 來研究取回被盜資產。目前 Ronin Bridge 的授權已經被撤銷,同時也停止了幣安 Binance 的接入,防止再有資產被轉走;另外也停用了 Katana DEX 交易服務,所以用戶目前未能存入或提取 Ronin Network 的資產。

Ronin Network 強調用戶的 AXS、RON、SLP 加密幣都是安全的,同時已經把認證節點的門檻數目提升到 8 個,並會盡快再增加認證節點。