by cryptoblog Sumber : Rekt News
Poly Network telah digulingkan dari posisi teratas.
~$624 juta dicuri dari Ronin Network.
Dan tidak ada yang memperhatikan selama enam hari.
Ketika mereka akhirnya menyadari, tim Ronin mengumumkan bahwa:
“Kami menemukan serangan pagi ini setelah laporan dari pengguna yang tidak dapat menarik 5k ETH dari jembatan.”
Bayangkan bagaimana perasaan tim Ronin ketika mereka mengetahui bahwa jembatan telah dikeringkan hampir seminggu sebelumnya.
Peretasan cryptocurrency terbesar baru yang pernah ada.
Tetapi apakah penyerang dapat mencuci barang jarahan?
Dengan meningkatnya popularitas Axie Infinity, Ronin diluncurkan sebagai rantai samping Ethereum pada Februari 2021 untuk menyediakan throughput transaksi yang cepat dan murah yang diperlukan agar game p2e berfungsi.
Untuk memaksimalkan TPS, desentralisasi dan ketidakpercayaan diabaikan demi model Proof of Authority di mana hanya sembilan validator yang mempertaruhkan reputasi mereka, daripada memproses kekuatan atau dana apa pun.
Dari sembilan validator ini, konsensus lima diperlukan untuk menyetujui transaksi penyetoran dan penarikan.
Empat validator dioperasikan oleh Sky Mavis, artinya jika terjadi pelanggaran keamanan, hanya satu tanda tangan lagi yang diperlukan untuk mengontrol jaringan.
Meskipun Community Alert resmi tidak memberikan perincian tentang bagaimana validator Sky Mavis disusupi, ini menunjukkan kerentanan yang menyebabkan penyerang mendapatkan kendali atas tanda tangan kelima yang diperlukan.
Penyerang dapat memperoleh akses ke validator tambahan karena pengaturan yang dibuat antara Sky Mavis dan Axie DAO pada November tahun lalu. Node RPC bebas gas didirikan untuk meringankan biaya bagi pengguna selama periode lalu lintas jaringan yang padat di mana harga AXS memuncak.
Ini mengharuskan Axie DAO menyetujui validator Sky Mavis untuk menandatangani transaksi atas nama mereka.
Meskipun pengaturan hanya berlangsung hingga bulan berikutnya, akses daftar putih tidak pernah dicabut, memungkinkan penyerang yang telah mengganggu validator Sky Mavis untuk menggunakan tanda tangan tambahan (Axie DAO) yang diperlukan untuk menyetujui transaksi.
Penyerang kemudian mengizinkan dua penarikan, menghabiskan 173.600 ETH pertama dan kemudian 25,5 juta USDC dari kontrak Jembatan Ronin. USDC 25,5 juta ditukar dengan ETH melalui alamat lain sebelum dikembalikan ke dompet utama.
Mungkin dalam upaya untuk memperumit pengejaran, 6250 ETH telah ditransfer dari dompet, beberapa di antaranya telah ditransfer ke FTX dan Crypto.com. Alamatnya juga awalnya didanai dari Binance, tetapi akun KYC mudah diperoleh.
Sisa dana tetap berada di alamat penyerang:
0x098b716b8aaf21512996dc57eb0615e2383e2f96
Pencurian ini akan dikenang bukan hanya karena ukurannya, tetapi karena kurangnya kesadaran nyata yang ditunjukkan oleh tim Ronin.
Tampaknya tidak terpikirkan bahwa infrastruktur utama mereka tidak dipantau, dengan satu-satunya peringatan datang dari pengguna yang bersangkutan beberapa hari kemudian.
Dalam pernyataan resmi mereka, Sky Mavis mengatakan bahwa “Ke depan, ambang batas akan menjadi delapan dari sembilan” validator untuk menyetujui transaksi.
Namun ini diberlakukan hampir 11 jam sebelum insiden itu diumumkan secara resmi.
Tidak perlu terburu-buru ketika sudah hampir seminggu…
Meskipun sebagian besar setuju tentang pentingnya, desentralisasi kadang-kadang dilihat sebagai gangguan akademis, atau moral dari adrenalin perdagangan dan pengejaran keuntungan.
Kasus ini menunjukkan betapa pentingnya desentralisasi.
Mengapa set validator Ronin tidak diperluas lebih lanjut?
Seperti yang kita lihat dengan kasus Wormhole, ketika kantong dalam akan hilang, bailout tidak menjadi masalah.
Axie dianggap sebagai pemimpin pasar di GameFi, apakah insiden ini menghadirkan tingkat risiko yang sama untuk seluruh ekosistem?
Jika demikian, siapa yang memberikan $624 juta?
