以一边游戏、一边赚取加密币而爆红的网路游戏 Axie Infinity,其侧链服务 Ronin Network 发新闻稿确认被骇,有 173,600 个以太币 ETH 和 2,550 万个美元稳定币 USDC 被盗去,等值近 6 亿美元之多。Ronin Network 也有详细解说被骇的始末,让大家可以更了解这宗大型盗窃案。
Ronin Network 表示,他们发现骇客是首先透过在其中一个由 Axie DAO 营运的 RPC 节点里的後门程式,获取了签名档。同时在用以验证交易的 9 个节点之中,再成功操纵了其中 5 个(4 个是 Ronin Validators,一个是 Axie DAO),并於 3 月 23 日发起虚构的交易要求,以两次转帐就掏走了等值 6 亿美元的资产。
对於这个後门的存在,Ronin Network 解释是他们母公司 Sky Mavis 在 2021 年 11 月因应有大量用户载入,求助 Axie DAO 协助处理交易,并因此建立了连接双方服务的 Ronin Bridge 桥接机制。然而在合作在 2021 年 12 月完结後,却没有把桥接授权撤销,所以就产生了这样一个漏洞。
骇客盗走资产後近一星期後,才有用户发现无法在 Ronin Network 转走 5,000 个 ETH 而揭发出,官方表示已经追踪到被盗加密资产所在的钱包位址,目前已经联络执法部门、Chainalysis 来研究取回被盗资产。目前 Ronin Bridge 的授权已经被撤销,同时也停止了币安 Binance 的接入,防止再有资产被转走;另外也停用了 Katana DEX 交易服务,所以用户目前未能存入或提取 Ronin Network 的资产。
Ronin Network 强调用户的 AXS、RON、SLP 加密币都是安全的,同时已经把认证节点的门槛数目提升到 8 个,并会尽快再增加认证节点。